本文共 2648 字,大约阅读时间需要 8 分钟。
除夕晚上,看了会春晚,无聊就上了上t00ls,看到binker求助提权
心想闲呢,就去玩玩了。
问binker要来SHELL地址
看了下环境,windows2003+iis6,不支持.net,支持asp
Asp权限比php权限稍大。
Wscript.shell存在,但是却不能执行命令,bincker说是没有删除wscript.shell,但是禁止了使用wscript.shell的权限。汗,想要通过溢出来搞也只好放弃了。
但是有PHP第一件事自然是找MYSQL ROOT密码了哈。
很幸运,一下就翻到密码root !@#178s*****
原以为很顺利,但现实是残酷的。
不能load_file任何地方的文件 ,说明mysql降权了,继续看了看,存在servu,但是密码也改了,但是即使破解出密码估计也是降权的,于是直接放弃这一条了。
到这里陷入了僵局,于是给binker说春节放假完了他还没搞下来我就帮他再搞下。
春节假放完,问binker说MYSQL降权基本没搞了。但是我想就再试试吧,说不定还能搞呢。
于是继续,我在目录里面跳来跳去,看到个phpinfo.php,就随便看了看,这下看出问题了
看到没,PHP的目录在D:\WEST263_PHP_PACKAGE
试验了一下,ASP马可以跳过去,PHP则不能。
进去一看,有很多敏感的东西
Setup.ini里有MYSQL的ROOT密码
Site.xml存有虚拟主机的所有FTP用户名和密码(真是危险
至此我们已经可以控制服务器上所有的网站了,但这并不是我要的结果,我们的目的还是要服务器权限的哈。
记得ninty的MYSQL中的UDF - Can't open shared library 的研究不。
新建plugin目录
上传一个修改过的UDF.dll,创建函数,成功执行命令,
但是前面说过了,MYSQL不是以系统权限启动的,
是不是这个时候就要放弃了,当然不了,搞了这么久了。
我们至少可以执行系统命令了哈,想到什么了,呵呵。
溢出,这段时间出了那么多洞子,拿来试试吧,发现服务器装了360,就丢了个360提权程序上去,结果发现系统的CMD被禁用了,把程序稍微改了下
再传一个cmd.exe改名为1234567.exe到c:\windows\temp下
成功执行溢出程序
登录3389
至此,提权完毕。
最后,再次感谢360XXXX
MYSQL中的UDF 的研究
mysql中支持UDF扩展 ,使得我们可以调用DLL里面的函数来实现一些特殊的功能。
但是对于UDF的具体限制,MYSQL的各个版本各有不同。 下面记录一下:
听说(只是听说,没做测试),在MYSQL 4.1以前的版本中,可以将所有的DLL文件里面的任何函数都注册到MYSQL里面以供MYSQL调用。
无论这个DLL在什么位置,函数的声明是什么样的。
在MYSQL 4.1及以后的版本中,对UDF函数进行了限制,只有实现了一个特定接口的函数才可以被成功注册到MYSQL中,
这样就防止了通过MYSQL非法调用系统的DLL。
在MYSQL5以后,对注册的DLL的位置有了限制,创建函数的时候,所对应的DLL不能包含/或者\,简单的理解就是不能是绝对路径。
所以我们将DLL释放到system32目录,来跳过这个限制。。或者放到盘符的根目录下通过c:udf.dll这种形式的写法来跳过限制。
经过28ice大牛的提醒,发现原来只要把dll放到PATH这个环境变量所表示的任何一个目录下面,效果跟放到system32目录下面一样。
也可以使用。
再说MYSQL5.1,这里有个问题相信大家会经常遇到的。。
大家有的时候在创建函数的时候,常常会遇到
这个错误。可是我们的语句没有写错,DLL也是免杀的或者服务器上根本没装杀软。。
好多人这里就不明白了。。
这是因为MYSQL 5.1及以后的版本中,又多了一个限制。
创建函数时所用的DLL只能放在mysql的plugin目录里面。。
而且这个plugin目录默认是不存在的。。挺YD吧,,可能就是为了防止通过into dumpfile将DLL来写到这个文件夹。。
MYSQL是无法创建目录的哦, 如果into dumpfile的目标目录不存在是会报错的。
需要手动创建 ,但是它却是一个系统变量。
我在虚拟机上装了MYSQL 5.1.3进行了测试,安装目录是:
通过:
view source
print?
1 show variables like '%plugin%';
可以看到:
+---------------+------------------------------------------------------------------------
| Variable_name | Value
+---------------+-------------------------------------------------------------------------
| plugin_dir | C:\Program Files\MySQL\MySQL Server 5.1\lib/plugin
+---------------+-------------------------------------------------------------------------
plugin目录位置是mysql安装目录下的lib/plugin ,需要我们手动创建 。
然后将udf.dll传到这个位置,再创建函数 ,这时就会成功了。
但是这个变量的值是只读的,尝试用
view source
print?
1 set @@plugin_dir = 'd:\\';
去更改它的值会发生错误。
只能通过修改php.ini ,在里面添加一个
才可以修改这个值 。。
无奈。。
所以在导出UDF提权之前 ,先确定一下MYSQL的版本是有必要的。
如果是5.1以后的,那就不行了,如果是5.1以前的版本创建函数的时候还报Can't open shared library这个错误。
那就要看看DLL是不是真的被导出了,还是被杀软隔离或者干掉了。
本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/571093,如需转载请自行联系原作者