注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

李舜生的博客

不懂艺术的程序员不是好设计师

 
 
 

日志

 
 

关于我的sql对策(鸡肋)  

2018-05-31 18:30:26|  分类: 权限提升 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
        昨天基友发了个shell让我提权 已知root账号密码 控制面板是宝搭web管理上了个udf提权马 导出udf的时候提示如下图:
关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
 一看就是mysql的安全策略 当secure-file-priv=NULL的时候禁止一切导出行为 绕过方法很简单 自己上传一个udf.dll到对应处 由于网站mysql为5.0以上所以要上传到lib/plugin/处 如果不存在这两个文件夹自己手动新建一个
关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
udf我则是用sqlmap里面的有关udf提权的dll sqlmap的dll相对来说语法比较规范而我用自带udf马在创建函数的时候就会失败
上传之后执行:create function sys_eval returns string soname 'udf.dll'; 创建函数
关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
这时候可以执行cmd命令 由于宝搭系统mysql账号是administrator组甚至权限更高 而且也不能执行net user等危险命令固然用远控解决把cmd命令换成远控路径 ps:由于php的问题单斜杠会被注释 所以路径要加双斜杠
例如:C://Windows//SysWOW64//wbem//Server.exe

 关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
反弹后system权限之后进服务器轻而易举
关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客

 那么问题来了 为什么说鸡肋?
首先要满足几个条件:root账号密码  lib/pugins/目录权限  运行mysql服务的账号权限够高
我们本地搭建一个mysql权限并把mysql服务设定一个低权限账号
关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
由于我本地环境mysql5.0以上 我们以相同的方法在本地导出udf到lib/pugins/并重复上面的操作然后看一下权限
关于绕过MySQL--secure-file-priv安全策略的思路(鸡肋) - 李舜生 - 李舜生的博客
 
一堆hex 再把hex转换为str结果就是:pc-20180428vxbv\hei 也就是之前user的账号权限 
一句话总结就是这个方法只能获得运行mysql服务账号相同的账户权限
 
  转载请注明原文地址:http://lsaya.blog.163.com/
  评论这张
 
阅读(99)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018