MySQL 提权

MYSQL udf 提权

一. 获取网站权限

1. 本地搭建 pikachu 靶场测试,文件上传漏洞获取 webshell

(1)简单的前端检测文件类型

2.png

(2)直接审查前端源代码,给它删了

1.png

(3)上传 php 后门代码

6.png

(4)冰蝎连接后门获取 webshell

8.png

二.UDF 提权

1.UDF 提权知识点:

(1)读取网站数据库配置文件(了解其命名规则及查找技巧 )

sql data inc config conn database common include 等

(2)读取数据库存储或备份文件(了解其数据库存储格式及对应内容 )

@@basedir/data/ 数据库名 / 表名.myd

(3)利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联 )。

(4)远程本地暴力猜解,服务器本地暴力猜解

(5)利用自定义执行函数导出 dll 文件进行命令执行

select version()// 查看 mysql 版本信息**
**select @@basedir// 查看 MySQL 安装目录

(6)手工创建 plugin 目录或利用 NTFS 流创建

select 'x' into dumpfile '目录 /lib/plugin::INDEX_ALLOCATION";

1.mysql<5.1 导出目录 c:/windows 或 system32**
**2.mysql=>5.1 导出安装目录 /lib/plugin/

2.UDF 提权步骤

(1)上传大马,查看 mysql 版本信息,读取配置文件 root 账户密码

12.png

13.png

(2)查看 secure_file_priv 值,并且对其进行更改(my.ini 目录下)

show global variables like 'secure%';
当 secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权
当secure_file_priv的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权
当secure_file_priv的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权
原文链接:https://blog.csdn.net/qq_36119192/article/details/84863268

4.png

11.png

(3)查看系统框架以及 plugin 目录

show variables like '%compile%';             #查看主机版本及架构
show variables like 'plugin%';               #查看 plugin 目录

14.png

3.png

(4)使用大马导出 dll 文件提权(烂尾。。。。尝试多种方法无法解决 qwq)

原文链接:https://blog.csdn.net/qq_36119192/article/details/84863268** **

MYSQL 启动项提权

1. 开启 MySQL 外连才能使用 MSF

GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'rootroot' WITH GRANT OPTION;// 开启外连,注意第一个 'root' 为 MySQL 账户 'rootroot' 为密码
flush privileges;// 刷新修改

15.png

2. 使用 MSF 在启动项目录加上后门

(1)在 MSF 中找到该模块载入并且查看参数

16.png

(2)配置参数(数据库账号密码,IP)

17.png

(3)上传成功开搞,提权成功

19.png

22.png

18.png

MySQL 反弹提权

1.Kali 上开启 nc 监听 5577 端口

20.png

2. 从 Kali 上访问大马开始连接

21.png

3. 反弹成功

23.png