作者:花开、若相惜
Pax.Mac Team核心成员
由于某著名游戏公司被人DDOS,让我们公司追查DDOS来源。话说现在DDOS还真没办法防御。那公司20G直接挂了。
定位了一个攻击来源,因为离的比较近,所以从这里下手。
经过初步的信息收集,旁注都是目标公司的站。开放在各个端口,有asp,php的站。服务器:Apache+IIS+win2003 mysql root密码为空。
既然mysql密码为空,那么就试试能不能外连:mysql -h ip -uroot -p
连接成功。估计这服务器是被3306抓鸡抓到的。
知道mysql密码又是root权限,那么寻找爆路径的。在一个旁注的站上尝试常用目录inc include等等,结果inc存在而且还列目录。网站权限做的还真不怎么样。
随手点了个文件,就爆出了路径。然后老规矩,写一句话。可是悲催的事情发生了,文件是写入了,但是访问却不存在。Load_file读取一句话也存在,不存在没写入。
难道库站分离?根据3306抓鸡原理,这服务器可能是UDF提权拿下的。既然这样我用UDF提权试试。
Mysql各版本UDF提权方法:
MYSQL 4.1以前的版本中,可以将所有的DLL文件里面的任何函数都注册到MYSQL里面以供MYSQL调用。无论这个DLL在什么位置,函数的声明是什么样的。MYSQL 4.1及以后的版本中,对UDF函数进行了限制,只有实现了一个特定接口的函数才可以被成功注册到MYSQL中,涛涛电脑知识网,MYSQL5以后,对注册的DLL的位置有了限制,创建函数的时候,所对应的DLL不能包含/或者\,www.www.xuhantao.com,简单的理解就是不能是绝对路径。所以我们将DLL释放到system32目录,来跳过这个限制。。或者放到盘符的根目录下通过c:udf.dll这种形式的写法来跳过限制。
只要把dll放到PATH这个环境变量所表示的任何一个目录下面,效果跟放到system32目录下面一样。
Can’t open shared library ‘udf.dll’
这是因为MYSQL 5.1及以后的版本中,又多了一个限制。创建函数时所用的DLL只能放在mysql的plugin目录里面而且这个plugin目录默认是不存在的
那么自己在mysql安装目录下建lib/plugin 文件夹,把udf.dll导到这里就行
这里有个技巧,显示mysql的安装路径 SHOW VARIABLES LIKE ‘%plugin%’;看看mysql的安装路径,是否之前给人搞过了。如果别人已经导好了,直接注册函数吧。
由于不同版本的mysql提权方式也不同,所以先看看mysql版本
