第一章日志分析-mysql应急响
1、黑客第一次写入的shell flag{关键字符串}
在/var/www/html/sh.php下面有个php文件,查看文件内容
flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}
2、黑客反弹shell的ip flag{ip}
在/var/log/mysql 下面有一个errror.log日志
查看这个日志里面的内容,发现了一个可疑的文件1.sh
去/tmp目录下面看看这个文件 发现里面是黑客反弹的shell
flag{192.168.100.13}
3、黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
我这里看了别的大佬的文章学习了一下
关于 Mysql 的提权方法有四种:
UDF 提权
MOF 提权(Windows 下)
启动项提权(Windows 下)
CVE-2016-6663(MariaDB <= 5.5.51 或 10.0.x <= 10.0.27 或 10.1.x <= 10.1.17)
那么查看目前靶场MariaDB的版本 mysql -V
这里版本不符合就剩下了UDF提权了,另外两个是在win下才能提权
UDF 的动态链接库文件放置于 /usr/lib/mysql/plugin/ 或 /usr/lib64/mysql/plugin/
攻击者可以通过 上传恶意的 UDF 动态库文件(如
.dll、.so)到数据库服务器的插件目录中,让数据库加载后调用系统命令。通俗地说:攻击者通过数据库执行自定义函数,让数据库“帮他”在系统里执行 shell 命令,从而实现 命令执行 / 权限提升。
那就查看动态连库
cd /usr/lib/mysql/plugin
ls -al
这里引用大佬的原话:部分文件权限是 rw - rw - rw - (如 mysqludf.so、udf.so ),即所有用户都有读写权限。如果这些是 UDF 相关文件,存在较大风险,因为恶意用户可能篡改其内容,植入恶意代码,利用 UDF 执行系统命令等方式提权。正常情况下,这类文件应严格限制权限,至少让 mysql 用户可读写,其他用户仅能读或无权限
查看两个文件的内容 发现udf.so是一句话木马
所以文件的完整路径为/usr/lib/mysql/plugin/udf.so拿去加密得到
flag{B1818BDE4E310F3D23F1005185B973E7}
4.黑客获取的权限 flag
whoami是当前正在登录的用户我们可以使用ps -aux查看当前进程
可以看到这个路径和黑客上传木马的路径是一样的那么用户名就是mysql
flag{mysql}
最后感谢大佬的wp:玄机——第一章日志分析-mysql应急响应