“撸”久不瑟,感觉不会再爱了

闲话少说,昨儿有机油丢给我一个shell。国外的服务器,那人本来是想架一个VPN自用,准备找个雏儿开搞。。

话说那服务器确实挺快的。。      查了下,一大把站。 心中暗喜。看起来主机不是比较恶心的虚拟主机管理系统。估计有门儿。       先查查cmd。

拒绝访问。           好吧。果然又是个管理怪蜀黍。果断问问机油。给力,他非常速度找到了一个可写。

由于exp存货有限。没看补丁数。直接传了cmd和一堆exp.            无果。果然够变态。。       粗略翻了一下。

上面的站都是php和asp的。虽然C盘找到sqlsever。。。       自扫描端口。

显然不太理想,幸好3389是开的。       于是乎。       我在那堆站里翻啊翻。没一个sa 。我擦。1433他开着玩我呢。

最后翻到了个Mysql配置文件

看了看到里面有个配置的mysql的账户      果断记下来。。话说幸好不是站库分离的,不然俺就秀逗了。

上了个php马。  果断登陆之。很明显不是root。。

但是人品好。在mysql的user里翻到了这个

 

有图有真相      喜滋滋地拿去破咯,cmd5收费的mysql5数据。       话说现今好心人蛮多的。帮我秒破。

拿去登陆。      接下来来的思路是神马呢。       在我的印象里,mssql的sa是可以直接执行cmd命令的

而mysql的root,必须要通过创建函数,比如通过执行cmdshell里的命令提权。       LPK和UDF,我选择了UDF。

好嘛。MYSQL5.xx。于是就创建lib\plugin呗。      小插曲:我本来想直接上个udf.php。不过突然一激灵。变态

管理蜀黍没准儿把默认路径改了的。果断show一下环境变量。      发现改在了D盘。        果断进驻,想要手动建

目录。很悲剧的是。

好吧。我们至少还有root。     前面我们提到,mysql的root可以通过创建函数执行系统命令。     我们可不可以利用

这个呢     查了下资料。估计是光棍当得太久了当衰了。没查到。。     果断问问几个好基友和攻城狮牛。。     好吧。

Haxxxxxxxx。。。是个大好银[(据说是高富帅喔)。学学Strong哥的写法。]        他给了我指了条路。原先他在

上年度发了一个python利用工具。也就是第六弹。     里面可以自动创建lib/plugin目录。     俺欣喜若狂啊。这时

已经大半夜了。     果断准备安下win下的python环境。     这时人品问题来了。。。nnd,网断了。。。

这就好比你都脱了那啥,那表演的人就给你看那啥。     你懂得。     无奈。。。洗洗睡了。     次日,也就是今天。起床了

继续搞。     安装了下win的python环境。。。话说本来想在linux下搞得。一直是总是缺这个缺那个的。     本屌怒了

。。以后不在上面试了。。貌似linux下有的模块win下都有。还更齐全。     安装完毕,启动exp。准备发射。

好吧。。啥JB人品。。。试了几次不是不能连就是拒绝。     话说开了外连的,难道是IP被拒绝了?     尝试了下

允许所有IP外链

mysql> grant all privileges on . to ‘yourname’@’%’ identified by ‘youpasswd’; mysql> flush privileges; NO RESULT。还是老样子。不能连。 看来介个exp用不成了。   但是我们要知道。EXP最终利用的还是语句。拿到语句我们可以本地手工开啊

我看了下源代码。找到了(当然haxxxxxx机油后来也发给我那语句了。) select ‘xxx’ into outfile '%s/lib::$INDEX_ALLOCATION' 这句和haxxxxxx写的不是完全一样。因为他当时正忙着其他事,敲得代码不一定对。所以 当时以我后来

在搜集的资料总结为准。     本语句的是利用报错式的插入。将某不存在的东西插入插件目录lib,因为lib目录

是不存在 的。所以它会因为报错给但是给建立一个相应的目录。Plugin的目录建立同上。   于是乎。我按这个

思路走。

恩恩。看样子有前人来过了。Mysql5.xx默认是没有这个目录的       不过后面就有些悲剧了。   最后导出udf.Dll时显示

Can not open or write 那啥udf.dll。。   小弟尝试用load_file将其导出也出错。。。不知道是哪里被限制了    好嘛,

我们先来看看能不能直接执行命令。   利用Function创建CMDSHELL,报错。仍继续、

Game Over。。 CMDSHELL不存在。    介个情况有两种说法    一种是组件被禁用。还有一种是。。你懂得。UDF没成功。

实在没法了。后来试图反弹一个shell回本机,用nc监听端口。    好吧。。连服务器公网转发都省了。又直接报错。 到了这里也到了尾声了。基本上能试的都试过了。高版本Mysql的提权法就那几种。   在我搞得那个被另外一大神确诊

为root亦不可写的目录里,实在是没搞下来。   有机油给我提过LPK以及MOF。大同小异。目录被封杀了,至少在我这里无解。 最后想了想,估计也让只有牛牛们的exp可能将其拿下吧