邪惡mysql提權(quán)

1、.將MYSQL讀寫權(quán)限轉(zhuǎn)化為system權(quán)限一、功能：利用MYSQL的自定義函數(shù)功能（再次聲明：利用MYSQL UDF提權(quán)絕非是溢出，而是MYSQL本身的一個功能），將MYSQL賬號轉(zhuǎn)化為系統(tǒng)system權(quán)限。二、適用場合：1.目標系統(tǒng)是Windows(Win2000,XP,Win2003)；2.你已經(jīng)擁有MYSQL的某個用戶賬號，此賬號必須有對mysql的insert和delete權(quán)限以創(chuàng)建和拋棄函數(shù)(MYSQL文檔原語)。三、使用幫助：第一步：將PHP文件上傳到目標機上，填入你的MYSQL賬號經(jīng)行連接。第二步：連接成功后，導(dǎo)出DLL文件，導(dǎo)出時請勿必注意導(dǎo)出路徑（一般情況下對任何目錄可寫，

2、無需考慮權(quán)限問題），對于 MYSQL5.0以上版本，你必須將DLL導(dǎo)出到目標機器的系統(tǒng)目錄(win 或 system32)，否則在下一步操作中你會看到No paths allowed for shared library錯誤。 第三步：使用SQL語句創(chuàng)建功能函數(shù)。語法：Create Function 函數(shù)名（函數(shù)名只能為下面列表中的其中之一） returns string soname 導(dǎo)出的DLL路徑；對于MYSQL5.0以上版本，語句中的DLL不允許帶全路徑，如果你在第二步中已將DLL導(dǎo)出到系統(tǒng)目錄，那么你就可以省略路徑而使命令正常執(zhí)行，否則你將會看到Cant open shared li

3、brary錯誤，這時你必須將DLL重新導(dǎo)出到系統(tǒng)目錄。第四步：正確創(chuàng)建功能函數(shù)后，你就可以用SQL語句來使用這些功能了。語法：select 創(chuàng)建的函數(shù)名(參數(shù)列表)； 每個函數(shù)有不同的參數(shù)，你可以使用select 創(chuàng)建的函數(shù)名(help)；來獲得指定函數(shù)的參數(shù)列表信息。 四、功能函數(shù)說明：cmdshell 執(zhí)行cmd;downloader 下載者,到網(wǎng)上下載指定文件并保存到指定目錄;open3389 通用開3389終端服務(wù),可指定端口(不改端口無需重啟);backshell 反彈Shell;ProcessView 枚舉系統(tǒng)進程;KillProcess 終止指定進程;regread 讀注冊表;r

4、egwrite 寫注冊表;shut 關(guān)機,注銷,重啟;about 說明與幫助函數(shù);前不久網(wǎng)上公開了一個MySQL Func的漏洞,講的是使用MySQL創(chuàng)建一個自定義的函數(shù),然后通過這個函數(shù)來攻擊服務(wù)器。最早看到相關(guān)的報道是在o-otik上,但是公布的是針對Unix系統(tǒng)的Exploit,并且成功率也不是很高.而近期,國內(nèi)有高手放出針對Win系統(tǒng)的相關(guān)文章,于是我馬上找來與朋友一同研究.其實我們早就能想到.當我們在對MSSQLOracle數(shù)據(jù)庫進行攻擊的時候,得到了最數(shù)據(jù)庫中高權(quán)限的帳戶,往往都是執(zhí)行特殊的擴展過程或者函數(shù)來進行攻擊的。比如MSSQL有Xp_cmdshell,Oracle可以通過M

5、svcrt.dll來創(chuàng)建一個特殊的函數(shù).而我們卻始終沒有想到,作為流行的數(shù)據(jù)庫軟件之一的MySQL,也是可以進行函數(shù)的創(chuàng)建的.由此看來,MySQL的這個漏洞不應(yīng)稱為漏洞而僅僅是一個技術(shù)而已.廢話一堆過后,我們來了解一下怎么在MySQL里創(chuàng)建一個函數(shù)吧.這比如何利用重要許多,只要了解了原理,運用就能更加靈活,而且可以與其他思想融會貫通.MySQL中創(chuàng)建一個函數(shù)的語句為:Create Function FunctionName Returns String|Integer|Real Soname C:function.dll;其中FunctionName指的是函數(shù)的名稱,C:Function.DL

6、L指的是函數(shù)所調(diào)用的DLL,而函數(shù)名正是DLL中的函數(shù)名稱.不過這里需要我們注意的是,如果我們需要MySQL可以在函數(shù)之中附帶一個參數(shù)的話,那么就要符合UDF形式的程序編寫規(guī)則,具體的可以查看MySQL手冊的第14節(jié):為MySQL增加新函數(shù).而其中STRING,INTEGET,REAL是函數(shù)執(zhí)行后所返回的值的形式.當然,我們大可不必遵循UDF形式的編寫,其實如果我們的函數(shù)中使用一個我們要執(zhí)行的代碼,而不使用參數(shù),一樣可以達到攻擊的效果,比如說System()等等.網(wǎng)上現(xiàn)在以此漏洞進行攻擊的FurQ蠕蟲就是一個不使用UDF格式的例子.但是注意,這個創(chuàng)建函數(shù)的語句必須要求我們

7、所用的MySQL帳戶有對mysql這個數(shù)據(jù)庫的寫權(quán)限,否則無法正常使用.好了.了解了原理之后,我們來實戰(zhàn)一下如何使用MySQL提升權(quán)限.在這里我們已經(jīng)通過各式各樣的漏洞取得了一個服務(wù)器的WebShell,我這里演示的是angel的phpspy,因為PHP默認有連接MySQL的函數(shù),而ASP這些需要使用附加的組件來進行連接,本身不具備條件的.一般來說,在Win系統(tǒng)下面,很多軟件都會在系統(tǒng)目錄下創(chuàng)建一個叫my.ini的文件,其中包含了很敏感的MySQL信息.而如果我們攻克的主機沒有非常好的權(quán)限設(shè)置的話,我們本身就具有對%windir%目錄的瀏覽權(quán)限,所以可以非常容易的讀取其中的信息.而且非常多的管

8、理員通常是將root帳戶與密碼寫進這個My.ini,所以一旦我們讀到root用戶的密碼,就可以操縱整個MySQL數(shù)據(jù)庫或者是服務(wù)器了.如圖1.得到MySQL的Root密碼之后,我們需要上傳我們的DLL文件,我這里使用的是從FurQ蠕蟲中提取的FurQ.dll.執(zhí)行這個FurQ.DLL中的Shell函數(shù),系統(tǒng)將會在6666端口打開一個帶密碼的CMDShell,當然,密碼我們已經(jīng)知道,就是FurQ幾個字符而已.不過我們現(xiàn)在還沒有執(zhí)行的條件.需要通過MySQL將這個函數(shù)創(chuàng)建到MySQL中去.現(xiàn)在,我們用PHPSPY新建一個PHP文件.輸入以下的內(nèi)容$link=mysql_connect(127.0.

9、0.1,root,root);if (!$link) die(Could NOt Connect The Database!: . mysql_error();echo Good Boy.Connected!;/這里的rootroot就是從my.ini中讀取的用戶和密碼.mysql_select_db(mysql) or die (use database mysql failed!);echo Yes You Did!;/這里選擇使用MySQL數(shù)據(jù)庫表.當然你也可以選擇別的,如test.$query=Create Function Shell RETURNS INTEGER SONAME d

10、:wwwrootFurQ.dll;$result = mysql_query($query, $link) or die (Create Function Failed!);echo Goddess.Successed!;/這兩句話是關(guān)鍵,執(zhí)行MySQL的創(chuàng)建函數(shù)語句.將d:wwwrootfurq.dll中的Shell函數(shù)創(chuàng)建進MySQL中.使得MySQL可以執(zhí)行這個Shell函數(shù).$query=Select Shell();$result = mysql_query($query, $link) or die (Execute failed);echo Congratulations! Connect The Port 6666 Of This Server VS password:FurQ;/這一步是執(zhí)行這個Shell函數(shù),打開服務(wù)器的6666端