在利用系统溢出漏洞无果的情况下,可以采用数据库提权,但需要知道数据库提权的前提条件:服务器开启数据库服务及获取到最高权限用户密码。除Access数据库外,其他数据库基本都是存在数据库提权的可能。
数据库应用提权在权限提升中的意义
WEB或本地环境如何探针数据库应用
数据库提权权限用户密码收集等方法
目前数据库提权对应的技术及方法
Mysql数据库提权演示-脚本&MSF
案例:MYSQL数据库提权演示-脚本&MSF
流程:服务探针-信息收集-提权利用-获取权限
1.UDF提权知识点:(基于MYSQL调用命令执行函数)
读取网站数据库配置文件(了解其命名规则及查找技巧)
sql data inc config conn database common include等
读取数据库存储或备份文件(了解其数据库存储格式及对应内容)
https://blog.csdn.net/qq_36119192/article/details/84863268
@@basedir / data/数据库名/表名.myd
利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联)
若没开启外联,自写PHP脚本上传爆破工具,进行web爆破mysql密码
远程本地暴力猜解,服务器本地暴力猜解
利用自定义执行函数导出dll文件进行命令执行
select version() select @@basedir
手工创建plugin目录或利用NTFS流创建
select 'x' into dumpfile '目录/lib/plugin : :INDEX_ALLOCATION';
1.mysql<5.1导出目录c :/ windows或system32
2.mysql=>5.1导出安装目录/ lib/plugin/
2.MOF知识点:(基于MYsQz特性的安全问题)
导出自定义mof文件到系统目录加载
https://www.cnblogs.com/xishaonian/p/6384535.html
select load_file ('c:/phpstudy/PHPTutorial/www/user_add.mof') into outfile 'c:/windows/system32/wbem/mof/nullevt.mof' ;
3.启动项知识点:(基于配合操作系统自启动)
导出自定义可执行文件到启动目录配合重启执行
将创建好的后门或执行文件进行服务器启动项写入,配合重启执行!
4.反弹知识点:(基于利用反弹特性命令执行)
nc -l -p 5577
WEB后门上执行反弹函数,反弹云服务器上的IP及端口,云服务器上监听5577端口
案例:MssQL数据库提权演示-MssQL客户端
流程:服务探针-信息收集-提权利用-获取权限
1.使用xp_emdshell进行提权
xp_cmdshell默认在mssq12000中是开启的,在mssg12005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重修开启它。
启用:
EXEC sp_configure 'show advanced options',1
RECONEIGURE;
EXEC sp_configure 'xp_cmdshell',1;
RECONFIGURE;
关闭:
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell' , 0;
reconfigure;
执行
SQL sever 沙盒提权
Oracle提权演示-自动化工具
普通用户模式:
前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权至DBA,并以oracle实例运行的权限执行操作系统命令。
DBA用户模式:(自动化工具演示)
拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行测试。
注入提升模式:(sqlmap测试演示)
拥有一个oracle注入点,可以通过注入点直接执行系统命令,此种模式没有实现回显,需要自己验证。
(JSP网站不需要提权,自带system权限)