⑴ 【原创】MySQL常见提权姿势总结
在深入探索 MySQL 提权策略时,总结了一些常见姿势,以便于进一步理解并实操这些安全实践。
**操作**
MySQL 提权中的一项关键操作是调整 `secure-file-priv` 设置。通常,这涉及到修改允许用户读写文件的权限路径,比如将 `secure-file-priv` 设置为允许远程连接的服务器上的特定目录,从而为提权操作创造条件。
**开启远程连接**
MySQL 提权的另一核心是确保远程连接功能的启用。通过调整全局变量 `general_log`,可以开启日志记录功能,以便于记录关键操作和潜在的提权尝试。设置日志路径和内容,如 `set global general_log_file='C://phpStudy//PHPTutorial//WWW//shell.php'`,并执行 `select '';` 来写入一句话,确保日志文件被正确生成。
**mof 提权**
mof 提权依赖于一个特殊的操作,即修改系统文件 `nullevt.mof`,使其在特定时间自动执行命令。该文件每分钟执行一次,由 `And TargetInstance.Second = 5` 控制,确保在第五秒执行命令,从而实现自动执行 cmd 操作。添加特定的 mof 代码,分别用于添加用户和将用户添加到管理员组,是实现这一目标的关键步骤。
**udf 提权**
udf 提权涉及创建自定义函数,并将特定 DLL 文件整合至 MySQL 环境。步骤包括创建目录、写入 DLL 文件、创建自定义函数等。这需要对 MySQL 版本和目录结构有深入理解,确保 DLL 文件在正确的目录下,如 MySQL 安装目录的 lib\plugin 文件夹。实现过程包括编写或获取特定的 DLL 文件代码,并通过 SQL 语句将其整合至数据库环境。
**利用 msf**
利用 Metasploit Framework (msf) 工具集,可以轻松实现 MySQL 相关的提权攻击。通过执行特定的 msf 命令,如 `use auxiliary/scanner/mysql/mysql_login`、`use exploit/multi/mysql/mysql_udf_payload`、`use exploit/windows/mysql/mysql_mof`,可以尝试登录、执行提权操作,或利用特定的漏洞进行攻击。
**文件写入**
文件写入技术是实现提权的一种直接方法,涉及使用 SQL 语句将特定内容写入到目标系统的文件系统中。例如,`select '' into outfile 'C:\\phpStudy\\PHPTutorial\\WWW\\1.php'` 可以用于写入包含恶意代码的文件,从而实现进一步的控制和利用。
**os-shell**
os-shell 功能允许在目标系统上执行命令,前提条件是需要有写权限和对网站绝对路径的访问权限。通过 SQLmap 工具,结合 `--os-shell` 参数,可以实现对目标系统的操作,如 `sqlmap -u 192.168.12.17/sql/Less-... --os-shell`。在具备正确配置和路径信息的情况下,可以成功执行命令,例如 `ipconfig`,以验证权限提升的成果。
以上策略和方法提供了对 MySQL 提权操作的基本理解,重要的是在实际应用时,务必遵循安全最佳实践,避免对系统造成潜在的风险。
⑵ mysql UDF提权踩坑经验分享
UDF权限提升在网络安全领域已非新概念,但在最近的实战演练中,我遇到了一些之前未留意的挑战,现分享这些经验。
首先,版本问题至关重要。尽管许多人文章中提到MySQL 5.1,但如今这个版本的用户非常稀少。因此,本文主要针对5.1以上的MySQL版本讨论。
MySQL通常从安装目录下的lib/plugin导入UDF,这个路径默认不存在,因此需要权限创建。UDF.dll文件在SQLMap工具中已内置,但需注意版本对应,因为32位与64位指的是MySQL的体系结构,而非操作系统。错误选择可能导致导入失败,通过命令`mysql -V`可以检查你的数据库位数。
比如,我所使用的数据库是32位,所以导入时务必选择对应32位的DLL。无法直接上传或复制文件时,可以采用hex(load_file('udf路径'))将文件转换为16进制数据,然后通过`select 0x16进制数据 into mp file '绝对路径'`写入指定目录。
在SQLMap的udf.dll中,执行命令的函数是`sys_eval`。导入DLL文件中的函数步骤如下:
create function sys_eval returns string soname 'udf文件名'
执行这条命令后,你就能成功利用UDF进行权限提升操作了。
⑶ MYSQL提权(linux)
select @@global.secure_file_priv;
查看MySQL服务器的文件读写权限
如果是NULL就是完全禁止
udf提权用到的so文件(linux)在kali下默认集成,路径为 /usr/share/sqlmap/udf/mysql/linux/64(32)
或者 searchsploit mysql udf
把对应的内容编译出来
mysql创建函数命令