伪科学：Mysql system函数提权

2024-08-07 其他范文下载本文

伪科学：Mysql system函数提权（精选7篇）由网友“性格像风”投稿提供，以下是小编帮大家整理后的伪科学：Mysql system函数提权，仅供参考，大家一起来看看吧。

篇1：伪科学：Mysql system函数提权

今天有人问关于mysql的system函数提权的问题，网上搜 mysql system()，许多文章都说linux下使用mysql root用户登陆可以使用system 函数执行shell命令，但经过测试后发现其实并非如此。

网上所说的使用system()来执行命令的方法如下：

mysql>system vi /etc/httpd/conf/httpd.conf;

我当前是以系统root 身份和mysql root身份登陆的，本地是可以执行的看图：

以下是win下远程链接linux 系统mysql root 身份登陆的

发现不能够执行 shell 命令，

下面是通过系统root 身份nc反弹shell mysql root执行：

看了网上的结论，此方法可行？？？

接着看下面的图：

我以普通用户身份，本地的mysql root身份执行 shell 命令

mysql> system id

uid=500(lostwolf) gid=501(lostwolf)

结论：实际上这个所谓的mysql system()函数提权与php的system()函数一样，以当前交互用户来决定权限的，且不能通过远程mysql执行命令。

[via@lostwolf]

篇2：迅雷提权方法

Kindle‘s blog

当我们使用迅雷下载东西的时候，会调用我们安装迅雷后一个htm文件，去激活htm文件里的一些代码，

把我们所下载东西添加到列表当中，

所对应的htm文件有2处一处是C:\\Program Files\\Thunder Network\\Thunder\\Program\\geturl.htm

一处是C:\\Program Files\\Thunder Network\\Thunder\\Program\\getAllurl.htm

如果我们想把我们想要的代码添加进去执行了？

我们简单写个代码试试，代码如下：

应该大家都可以看的出，如果我们把这段代码添加到那2个htm文件里，当迅雷下载东西的时候，一样

会去执行我们的代码，

添加一个administrators组的一个用户kindle

当然，代码大家可以自定义的..

测试通过，迅雷版本为5.9.2.927

篇3：另类提权详解

我先给大家说下我webshell的环境吧，

无 wscript.shell 组件，我记得网上有这么一篇文章： wscript.shell 上传个cmd.asp 可以执行命令，但我试过，

却无法显示网页。我一般拿到webshell 就要看

C:\\Documents and Settings\\Administrator\\「开始」菜单

C:\\Documents and Settings\\All Users\\「开始」菜单

这两个地址，简单确认下服务器安装的有哪些软件，可以利用某些软件漏洞来进行提权，很可惜这两个目

录都不能查看。

在扫描一下目标主机开放的有哪些端口，只有21 和 80 ，1433 我之后查看到到F盘内有几个文件目录可

以浏览我仔细看了下，原来有几个同服务器下的网站程序备份在F盘内，并且已经打包好了的，我点击下载

肯定是行不通的。我巧用webshell 把该文件复制到该站的目录里，接着就可以顺利下载了，嘿嘿~~下载成

功以后我查看到原来是一个DZ论坛程序，我查看到配置信息，我想可以利用mysql 提权了，上传了个

su.php上去，结果被杀，接着我对这个脚本进行300次循环加密，希望可以躲过杀软，待我在上传上去，结

果还是被杀，我想，应该是权限的原因，后来我随便找了个网站上的一个文件 rss.asp，进行修改为su.php

里的脚本，保存成功之后，还是被杀毒软件杀掉了rss.asp 这个文件，我汗~~最后我在网上找到一个可以连

接mysql 的工具，

工具名为：MYsql Tool 我也不知道行不行的通，填写好以后，还是连接不上。

最后我查看到了可以访问C:\\WINDOWS\\SYSTEM32 这个目录，也就是这个文章的重点。很多朋友可能都

知道五下shift后门这个吧?但却很少人知道原理。

后门原理：这个后门，可以说是微软系统的一个安全漏洞吧。简单点说，就是在登陆界面时，连按5下

shift键后，系统会以system的权限启动sethc.exe，也就是我说的系统默认的粘滞键所调用文件。

知道原理，思路就出来了。将sethc.exe替换成其他文件,比如说换成cmd.exe或者explorer.exe，

这样我们就可以执行命令，或者调用桌面程序了。也可以换句话说，可以为所欲为了。

本当我想这么做的时候，可惜权限不允许，不允许我删除上传等，接着我又巧用了webshell，把原文件

sethc.exe移动到另外个目录或者盘符，然后我在上传我的shift后门，重命名为sethc.exe到原网站目录，在

复制或者移动到system32这个目录，就这样就拿到系统权限了。如遇到win2K 则需要重启后有效，怎么使

他重启，这就要看你了。不过我有个馊主意，你用肉鸡DDos以后在联系管理员说他网站被D了，之后管理

员有可能会重启下服务器，这下你就可以上去了。o(∩_∩)o...

篇4：虚拟主机提权简单总结

我们的分享和交流只是为了能让自己进步一点点，能带给基友们一点点帮助，可是在交流的过程中遇见了能提权的shell被人删除的情况，真想不通陌生的基友你为什么要这样自私呢，做个黑产拿几百个shell回去卖，你能富有吗？

第一：了解一些简单的虚拟主机识别

常见的虚拟主机识别：

星外虚拟主机主机D:\\freehost\\zhoudeyang\\web\\Prim@Hosting 一般很难找到可执行目录，可以测试用远程调用cmd，exp来提权

虚拟主机D:\\hosting\\wwwroot\\ vhostroot

分支D:\\Vhost\\WebRoot\\51dancecn\\ vhostrootD:\\vhostroot\\localuser\\

星外分支D:\\vhostroot\\LocalUser\\gdrt\\

新网虚拟主机D:\\virtualhost\\web580651\\www\\ 可以找到很多可执行目录，但是目前基本上大部分为windows 系统，提权有难度

华众虚拟主机E:\\wwwroot\\longzhihu\\wwwroot\\ 一般有安全模式

星外分支F:\\host\\wz8088\\web\\

万网虚拟主机F:\\usr\\fw04408\\xpinfo\\ 支持aspx的话应该能扫到可执行目录

其他的虚拟主机可以使用reg.aspx，getacl.aspx配合来识别

第二：是不是能找到可执行目录

主要asp.php和aspx的，我在这里主要介绍ASPX的：

Reg.aspx从注册表读取目录

Getacl.aspx遍历目录以及文件，获取当前用户可控制的目录或者文件

篇5：WinWebMail & 7i24提权

一、WinWebMail程序安装为系统服务，程序一般是在admin权限下运行的，而服务程序emsvr.exe是在system权限下运行的，这样，我们就可以通过这个漏洞来提升权限了，假设我们得到了一个低权的WebShell，有修改权限，服务器安装有WinWebMail，我们只要能够修改其中的opusers.ini文件，就可以利用这个漏洞提升权限了，加用户、开端口就随你了。

在硬盘分区为NTFS格式下，WinWebMail会要求安装目录为everyone可写，这是因为它是Web服务式的邮件系统，需要通过ASP文件读写用户邮箱，也就是对应于某个用户名的文件夹，而普通的ASP程序解析权限很低，所以必须得让WinWebMail所在的目录拥有everyone可写权限，不然程序会无法正常读写这些用户文件夹的。在FAT32格式下就更不用说了，我们可以随意修改popusers.ini文件，从而溢出获得更高权限了。

最后再说说远程利用的方法。因为我们可以通过Web来注册用户，所以可以利用抓包软件来修改注册信息，从而间接修改ini文件，等到服务器

重启的时候，就可以利用漏洞了。

该漏洞影响范围到3.7.3.1以前的版本

————————————————————————————————————

就是winwebmail邮件服务器系统，用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面！包括admin管理员用户！当然，密码是加密的！

我们要做的，就是在本地装一个相同版本的winwebmail，然后将本地加密过的已经密码代码，利用webshell替换掉服务器上的，这台mail服务器就到手了！（说白了还是因为WinWebMail会要求安装目录为everyone可写）

————————————————————————————————————

WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到winwebmail快捷方式下下来，看路径，访问路径\\web传shell，访问shell后，默认权限是system，放远控进启动项，等待下次重启，

没有删cmd组建的直接加用户。

比如c:\\winwebmail\\web，如果不能浏览换为d:\\winwebmail\\web\\（一定要是web目录，本人多方测试c:\\winwebmail一样无权浏览）

另外如果查不出路径请用注册表读取：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WinWebMail Server\\imagepath

二、7i24的web目录也是可写，权限为administrator。

注： 7i24目录默认是可读可写，写进IISSAFE那个目录，访问 lan3a.com/iissafe/shell.asp

三、装有Magic Winmail的服务器会在系统上开启8080端口，对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。Magic Winmail是不可以解析asp脚本的，Magic Winmail这边是php的世界。

X:\\Magic Winmail\\server\\webmail 该目录默认为system权限

网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权，而我们的Magic Winmail却可以解析php脚本，想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。