利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,(降权也可以提,没降权的话就最好了),是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码
网站建设哪家好,找成都创新互联!专注于网页设计、网站建设、微信开发、小程序开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了湘东免费建站欢迎大家使用!
先来说说我是咋判断一台windows服务器上的mysql有没有降权的. 0.0如果能运行cmd的话,我会先看看有啥用户先,如果有mysql mssql这样用户名,或者类似的.我就会猜测他的mssql服务或者mysql的已经被降权运行了.但并不代表不能提权,只要能运行cmd..
接着说一下,判断服务器上是否开启了mysql服务. 一般在拿到webshell的时候,都会扫描一下端口,如果开启了3306端口的话,我会telnet 过去看看- -.忘了有无回显~(提权的时候,大多数 3306端口的都是不支持外链的.呃,我遇到的大多数是这样, 有root可以开启外链.) 当然也有一些管理员会把mysql的默认端口改掉.另外一个判断的方法就是网站是否支持php,一般支持php的网站都用mysql数据库的.php+mysql啊,好基友啊好丽友- -~(当然,也有一些网站用其他的一些更专业的数据库).
再说说如何查找mysql root的密码.
MYSQL所有设置默认都保存在“C:\Program Files\MYSQL\MYSQL Server 5.0\data\MYSQL”中,也就是安装程序的data目录下,如图2所示,有关用户一共有三个文件即user.frm、user.MYD和 user.MYI,MYSQL数据库用户密码都保存在user.MYD文件中,包括root用户和其他用户的密码。
User.frm user.myd User.myi
这几个文件.在webshell下,下载下来,解密.用c32asm或者其他的一些文本编辑器user.MYD打开.
A30F80616A023BDFC9
复制到cmd5.com那查一下,或者用cain爆破一下.
打开后使用二进制模式进行查看,如图所示,可以看到在root用户后面是一串字符串,选中这些字符串将其复制到记事本中,这些字符串即为用户加密值,即A30F80616A023BDFC9 。
具体使用cain破解的,我这就不演示了
还有一个查找的方法就是,一些php网站安装的时候用的是root用户,例如dedecms,他数据库安装的信息就是写在data/common.inc.php
先去下载一个PHP的解压缩包 再去下好MYSQL 安装包 PHP解压到一个文件夹下 1 进入IIS管理器 2 点击列表中的第一项(就是服务器名称) 3 打开处理程序映射 4 在右侧选择"添加脚本映射" 5 在请求路径填入"*.php" 可执行文件选择PHP目录下的php5isapi.dll 名称自己填 6 在应用程序池里添加一个程序池 .Net 版本随便 模式一定要选 "经典" 并且启动 7 选择你的PHP站点 8 查看"基本属性" 9 更换应用程序池为 刚刚建立的 (也可以调用 Classic .NET AppPool ) IIS 配置完成 下面是 PHP 配置 将PHP5ts.dll mysql.dll 复制到 system32目录下 (否则没法运行MYSQL) 把 php.ini-recommended 重命名为 php.ini (php 目录下) 打开PHP.ini 搜索 extension_dir = 把后面引号内容替换为你的PHP安装目录 再加上 ext 就是 比如PHP在 F 盘下面 的PHP5 目录 那么换为 extension_dir = "F:\php5\ext" 也就是 PHP5目录下的 ext 目录 再 搜索 ;extension=php_gd2.dll ;extension=php_mysql.dll (如果不存在 就自己加上) 取出前面的分号";" 为了PHPMYADMIN 能够运行 查找 session.save_path (有好几个 注意要找那个前面没分号的) 把引号内容 改为一个文件夹位置(随便了 最好是系统目录下的 Temp 文件夹) 如果是Temp 目录 注意查看属性 在 IISUSers 把权限提高 Mysql 安装就不说了 点下一步 总是会的 附带一句 原创 禁止转载 问题问我QQ
UPDATE `mysql`.`user` SET `Event_priv` = 'Y' WHERE `user`.`User`= ’root‘ AND `user`.`Host`= ’%‘;
完了后再,
FLUSH PRIVILEGES;
这种情况你最好专门为远程登陆建一个帐号,主要是为了安全。
select @@global.secure_file_priv;
查看MySQL服务器的文件读写权限
如果是NULL就是完全禁止
udf提权用到的so文件(linux)在kali下默认集成,路径为 /usr/share/sqlmap/udf/mysql/linux/64(32)
或者 searchsploit mysql udf
把对应的内容编译出来
mysql创建函数命令