本文介绍了数据库权限提升的过程,包括前提条件(如服务器开启、用户密码获取)、服务探针(检测默认端口)、信息收集(如端口扫描、配置文件和MYD文件分析)、Mysql提权方法(UDF、写入.dll文件)、以及Windows上的提权技巧(自启动程序和MSF反弹shell)。
小迪安全学习笔记(权限提升--数据库提权)(二)
权限提升
这里用博主:进击的网安攻城狮 的思维导图给大家介绍
前提条件
数据库提权的前提条件:1.服务器开启数据库服务。2.获取到最高权限用户密码。3.除了Access外其他数据库都存在数据库提权的可能。
提权流程
服务探针–信息收集–提权利用–获取权限
数据库默认端口(服务探针)
一、关系型数据库
1、MySql数据库 ,默认端口是: 3306;
2、Oracle数据库 ,默认端口号为:1521;
3、Sql Server数据库 ,默认端口号为:1433;
4、DB2数据库, 默认端口号为:5000;
5、PostgreSQL数据库, 默认端口号为:5432;
6、国产的DM达梦数据库, 默认端口号为:5236。
二、NoSql数据库(非关系型数据库):
1.Redis数据库,默认端口号:6379;
2.Memcached数据库,默认端口号:11211 ;
3.MongoDB数据库,默认端口号:27017;
注:可以用于端口扫描时区分数据库类型。
信息收集
通过端口扫描看开放端口,判断数据库类型。并通过各类方法得到用户密码。
Mysql数据库提权(UDF提权,基于Mysql调用命令执行函数)
看到端口3306开放后可以判断为Mysql数据库,接下来记录一下Mysql数据库提权方式。
读取网站数据库配置文件
常见的数据库配置文件:sql,data,inc,config,conn,database,common,include等。例如我本地的DVWA靶场的config.inc.php这类存在数据库账号密码的配置文件都属于这类文件。
Mysql的.MYD文件读取敏感信息(数据库存储或备份文件读取)(了解数据库储存模式和对应内容)
.MYD文件是存储信息的文件,里面有很大敏感信息,其中之一就是用户密码。例如user.MYD文件中就存在数据库用户密码,可能是加密的,但是可以通过解码网站直接解码(cmd5网站)。路径:Mysql/data/数据库名/表名.MYD
利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联)
不支持外联:只能本地连接。(root一般不支持外联)。
工具爆破:工具一般在攻击机,属于外部连接,由于root不支持外联,无法爆破。
爆破脚本:将脚本上传到后门,运行脚本(访问脚本地址),这就属于本地连接,可以爆破。(MySQL爆破脚本可以网上查找下载)
注:信息收集阶段结束
提权利用(Windows上MySQL提权)
1.搞清楚MySQL版本
版本<5.1 导出目录:C:/windows或/system32
版本>=5.1 导出安装目录:/lib/plugin/(该目录不存在,需要手工创建plugin或NTFS流创建)
2.如何判断版本?
select version();
3.如何查看安装目录?
select @@basedir;
4.安装.dll文件
安装在上文的目录,使用已经做好的脚本工具,填写ip和用户密码,进行连接,在该目录创建dll文件,最后便可以执行sql命令,工具上也有很多例如创建超级用户的一键功能(用以提权)。
最后用脚本提权成功。(UDF提权)
还有一种提权方法是MOF提权(借助MySQL的高权限导出,把原始文件进行替换),由于成功率较低,便不多讲诉,有兴趣的可以自行查找学习。
MySQL写入自启动程序(配合操作系统)
导出自定义执行程序进入启动目录/服务器启动项写入配合重启执行
由于在启动目录,所以后门文件直接可以获得高权限
可以使用MSF连接进行MySQL启动项提权
怎么让对方服务器重启?
用DDos(分布式拒绝服务攻击)攻击。->联合多台计算机对一个或多个平台进行攻击。
MSF反弹shell提权
sql命令执行反弹shell文件,用MSF进行连接提权。
总结
首先获取MySQL数据库用户密码,可以用本地连接暴力猜解,或者读取敏感文件获取,最后使用工具输入IP和账号密码端口进行连接,MySQL数据库的提权方式有UDF,MOF提权,写入.dll(动态连接库)文件提权,也可以执行反弹shell文件进行MSF连接,还有写入启动任务再用DDos攻击强制服务器重启。
扫一扫
644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
