0x00 mysql数据库提权方式简介

1）udf提权

2）mof提权

3）启动项提权-反弹shell-exp提权

提权思路：1.探针数据库的存在-端口服务，2.必须获取到数据库的权限密码，3.数据库的类型分类

重点：数据库的账号密码获取方式，

1.网站配置文件sql data inc config conn database commin include等

2.读取数据库备份文件下的库中表等信息，数据库名/表名.MYD文件储存密码，例如mysql数据库在mysql_user表中储存账户密码，使用cmd5-mysql5解码

3.暴力破解账户密码，需要支持外联，mysql一般不支持外联，需要手动打开

数据库密码本地爆破：

将php脚本放在本地，运行

msf爆破数据库密码使用 scanner mysql_login模块 需要支持外联

0x01 UDF提权

UDF介绍：User Defined

Functions简称UDF，通俗来讲就是用户可自定义函数。udf提权就是利用到创建自定义函数（sys_eval），在mysql中调用这个自定义的函数（sys_eval）来实现获取对方主机的system的shell权限，从而达到提权的目的。

简单来说便是利用提权脚本放到对方mysql指定的目录下，运用脚本创建自定义函数，使用函数即可获取shell权限。

我们需要将duf.dll文件放入C:\phpStudy\MySQL\lib\plugin，前面路劲可能跟我不一样，但是需要做的就是将dll文件放入\lib\plugin目录中

Mysql版本大于5.1版本：udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。

Mysql版本小于5.1版本： udf.dll文件在Windows2003下放置于c:\windows\system32，

在windows2000下放置于c:\winnt\system32。

如果目录不存在则利用NTFS数据流创建文件目录

提权条件

UDF提权步骤

还有一种利用msf提权udf方法，这里没有简述，

msf默认创建sys_exec()函数，该函数执行并不会有回显

返回值只有0或1，1为错误，0为正确

提权常用命令

1. select cmdshell(‘net user hsy 123456 /add’); #添加用户

2. select cmdshell(‘net localgroup administrators hsy /add’); #将用户加到管理组

3. drop function sys_eval; #删除函数

4. DROP TABLE data; //为了删除痕迹，把刚刚新建的data表删掉

0x02 mof提权

mof提权原理

提权条件

提权exp

执行完毕替换net user hsy 123456 /add换为

net localgroup administrators hsy/add 即可将用户提升管理员权限

0x03 自启动提权与反弹shell提权