文章目录

• 前言
• 一、db_nmap扫描
• • 1 常用nmap参数介绍
  • 2 具体过程
• 二、查看版本
• • 1 介绍功能
  • 2 具体过程
• 三、暴力破解密码
• • 1 介绍功能
  • 2 具体过程
• 四、收集信息
• • 1 枚举数据库信息
  • • ①介绍功能
    • ②具体过程
  • 2 导出密码hash
  • • ①介绍功能
    • ②具体过程
• 五、mysql认证漏洞利用
• • 1 介绍功能
  • 2 具体过程
• 六、Mof提权
• • 1 介绍功能
  • 2 具体过程
• 总结

---

前言

本文详细介绍了如何使用metasploit对mysql进行简单渗透测试

---

一、db_nmap扫描

使用外置和内置的都行，使用metasploit内置的nmap需要启动postgresql服务才能使用

1 常用nmap参数介绍

目标发现

-iL 添加扫描待ip列表文件
-iR 随机选择目标
不用指定目标ip，nmap对自动对全球的ip随机选择100个进行扫描
root@kali:~# nmap -iR 100 -p100
--exclude 排除扫描
当想要对某个ip地址段进行扫描，但是并不扫描其中特定的一些ip
root@kali:~# nmap 192.168.1.0/24 --exclude 192.168.1.1-100
从文件列表中排除不需要扫描的ip

主机发现

-sn ping扫描，不扫描端口
-Pn 完全扫描（穿透防火墙）
-PS/PA/PU/PY[portlist]，协议扫描，TCP，SYN/ACK,UDP or SCTP ，基于上述协议去进行扫描端口
-PO[protocol list] 使用ip协议扫描
-n/-R
-n：不进行nds解析
-R：对其进行反向解析
--dns-servers 更换DNS服务器
<serv1[,serv2],...>: Specify custom DNS servers
更换系统默认DNS服务器，以得到不同的扫描结果
root@kali:~# nmap --dns-servers 8.8.8.8 www.sina.com
--traceroute 路由追踪，基本等同于traceroute命令
root@kali:~# nmap www.baidu.com --traceroute -p80

端口发现

-sS/sT/sA/sW/sM 基于TCP的端口发现
TCP SYN Connect() ACK Window Maimon scans
基于TCP的SYN 全连接 ACK 窗口 Maimon 扫描
-sU 基于UPD协议的扫描，但是UDP的扫描的准确率并不高
-sN/sF/sX 基于TCP的空/finish/xmas的扫描
--scanflags <flags>，其实以上对于TCP的扫描都是对tcpflags位的组合，所以我们自然是可以自定义组合的。
-sI 僵尸扫描，<zombie host[:probeport]>: Idle scan
-sY/sZ 基于SCTP协议(少用)，SCTP INIT/COOKIE-ECHO scans
-b 基于FTP的中继扫描，<FTP relay host>: FTP bounce scan

指定端口和扫描菜单

-p 扫描特定类型端口/范围
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
--exclude-ports 排除不需扫描的端口范围
-F 快速扫描
Fast mode - Scan fewer ports than the default scan
-r 按顺序扫描
Scan ports consecutively - don't randomize
如果我们对1-1000个端口发起扫描，namp默认会在每次扫描中随机选择，-r会使namp按照从大到小的顺序进行。
只扫描常用端口的top n

服务/版本探测

-sV会使用nmap中的大量特征库去进行探测比对
--version-intensity
虽然-sV会nmap会调用自身大量的特征库资料去进行匹配，但是这样势必会增加比对的时间成本，所以我们可以探测阶段扫描的强度去最大限度的节省扫描的时间成本。
--version-trace
对扫描过程进行跟踪，显示扫描的具体过程

2 具体过程

┌──(root