MySQL之UDF提权

最新推荐文章于 2023-06-24 16:20:19 发布
最新推荐文章于 2023-06-24 16:20:19 发布
阅读量340 收藏 1
点赞数 1
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/114393221
版权

UDF和dll文件

UDF全称User Defined Function,即用户自定义函数,在MySQL中以加载外部插件(dll文件)的方式来创建函数。

我解释一下dll文件:

dll文件,又指库文件、动态链接库文件,与之相对的是静态库。我们知道,在编写程序经常需要导入其它库文件以使用内置接口或函数,这些接口或函数如果以静态库的方式引入,那么就先把所有需要用到的程序(包括内置接口和函数)链接在一起,再装载到内存运行。

如果是以动态链接库文件(dll)的方式引入,则是先执行主程序,当用到其它程序时,动态加载到内存并执行它。

dll文件具有一些有趣的特点,如果了解操作系统是如何装载与运行程序的,应该很容易理解。

在这里插入图片描述
在这里插入图片描述

MySQL提权的原理就是通过加载能调用shell接口的dll文件,来实现权限的提升。

因此提权需要的条件:

(1)拥有把dll文件写入到MySQL的插件目录的权限。

(2)在MySQL中能创建和删除自定义函数。

获取数据库账户

不过在此得先能掌握一个数据库账户,假设攻击者拿到Webshell,那么他可以查看网站的配置文件(例如config.php),里面含有连接数据库的用户名和密码。

另一种方法是从…\MySQL\data\mysql\user.MYD文件中获取账户的口令密文。

winhex打开user.MYD文件:

在这里插入图片描述
提取其中能拼接成40位长的两段字符串,这两段字符串拼接成的40位字符串就是口令的密文,密文解密后就是明文口令。

在这里插入图片描述

在5.x>=MySQL>=4.1中,口令默认使用的加密方式是mysql native password,,暂时并不清楚是什么加密算法。

在这里插入图片描述

权限要求

不同版本的MySQL对dll文件的存储位置有不同的要求:

(1)如果mysql版本>=5.1,dll文件放置在mysql安装目录的lib\plugin文件夹下。

(2)如果mysql版本<5.1, dll文件放置于c:\windows\system32目录或c:\windows目录下。

确定plugin目录位置:

在这里插入图片描述

如果用Webshell的权限可以直接将dll文件上传到对应的插件目录(要有对应目录的读写权限),这种情况最好,但一般Webshell的权限比较低,所以考虑可以用数据库的root账户把dll文件写入到plugin目录。当然,这也要求root要有对应目录的读写权限。

查看"secure_file_priv"文件系统权限:

在这里插入图片描述

系统变量secure_file_priv的可能值:

(1)NULL:无法导入或导出文件。

(2)(空):可以导入或导出文件。

(3)有具体的目录:只能从这个目录导入或把文件导出到这个目录。

选择dll文件

dll文件本质也是一段程序,程序由指令和数据构成,不同的计算机体系结构,指令系统也不一样,因此dll文件有32位和64位的,有Windows系统和Linux系统的。

查看MySQL自己适合的系统结构(这不是操作系统的体系结构,而是MySQL适合运行在什么操作系统):

在这里插入图片描述

Sqlmap提供了调用shell接口的dll文件,我们可以拿来用。

在这里插入图片描述

不过这个dll文件被加密,需要用sqlmap提供的cloak工具解密一次:
在这里插入图片描述

“-d"表示解密,”-i"表示输入的文件。在输入文件的目录下生成了原生的dll文件。

在这里插入图片描述

写入dll文件

Webshell能直接把lib_mysqludf_sys.dll上传到plugin目录最好,如果不行,再考虑数据库root账户能否对plugin目录有文件导入导出权限,如果这也没有,那么没有办法udf提权。

root写入dll文件:

(1)先dll文件的二进制数据直接写入到plugin目录下:

select 0x4D5A90....... into dumpfile '(plugin目录/xx.dll)';

在这里插入图片描述
(2)dll文件的二进制数据比较多,复制粘贴到shell时可能卡死,当然可以先create新表,然后把部分数据insert语句到一个字段中,最后再用update语句配合concat()函数把剩下的数据拼接到字段里面的数据后面。

创建函数(加载dll文件)

上传的用于提权的dll文件提供了两个函数:sys_eval和sys_exec,区别在于sys_eval有返回值,sys_exec没有返回值。

// MySQL创建函数的语句
CREATE FUNCTION 函数名 returns 返回值类型 [soname 'dll文件名'];
// 创建调用shell的函数
create function sys_eval returns string soname 'udf.dll';
create function sys_exec returns string soname 'udf.dll';

在这里插入图片描述
执行函数:
在这里插入图片描述
创建用户并添加到管理员组(提权):

// Windwos的cmd命令:
net user 用户名 [密码] /add
net localgroup administrators 用户名 /add

删除函数:

// MySQL语句
drop function 函数名;

drop function sys_eval;
drop function sys_exec;
friEnd`
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql提权udf
09-20
mysql免杀UDF 提权必不可少神器。必须配备
mysql udf提权
weixin_60719780的博客
03-16 1030
udf提权只要是因为udf.dll文件,攻击者通过编写调用cmd或者shell的udf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们提权需要使用这个16进制的udf.dll文件;
mysql_udf提权
qq_42383069的博客
03-05 3225
0x00. 环境配置: 安装phpstudy,并且以系统服务模式启动 创建普通用户 在服务中将Apache以普通账户启动 赋予apache目录下logs普通账户写入权限 连接大马,测试下当前我们的权限 0x01. UDF介绍与使用: 什么是udfudf(Userdefined function)是用户自定义函数。在mysql中函数是什么?比如mysql中常见的sleep(),sum(),ascii()等都是函数。而udf就是为了让我们开发者能够自己写方便自己函数 为了在mysql中使用此
Mysql udf提权
weixin_43689084的博客
12-11 1566
Mysql udf提权 操作系统信息和MySQL数据库信息共同决定了udf提权时dii文件导出的位置,通过获取目标服务器的操作系统信息和MySQL数据库版本信息为后续提取奠定基础。 1,获取目标操作系统信息,查看操作系统信息的方法有很多,如果能够执行命令的话,可以通过“systeminfo”命令来获取,如果不能执行命令的话,可以再nmap中通过"nmap target -O"来获取。 2,获取目标...
mysql udf 提权
完美落地
12-06 844
mysqludf提权方法 01 May 2013 UDF(用户定义函数)是一类对MYSQL服务器功能进行扩充的代码,通常是用C(或C++)写的。通过添加新函数,性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时,UDF通常是最好的选择。但同时,UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。 适用场合: 1、目标主机系...
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
Linux利用UDF库实现Mysql提权
09-10
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
MYSQL高版本低版本UDF提权工具
06-20
MYSQL高版本低版本UDF提权工具 很好用的UDF提权使用 有两个版本
MYSQL提权UDF.dll
06-11
MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll
MySQL UDF 提权
small_cat's home
10-22 1812
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的shell权限,从而达到提权的目的。要实现 UDF 提权需要有一个动态链接库文件。
MysqlUDF提权
热门推荐
yy
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
Mysql——udf提权
Zlirving_的博客
05-29 1207
udf提权 UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现在MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用 原理 UDF提权是利用MYSQL的自定义函数功能,构造特定得DLL将Mysql账号转化为系统system权限   利用条件 可利用于windows系统,linux系统 Windows文件是dll文件;linux里面的文件是
提权MySQL UDF提权
b10d9的博客
10-03 252
MySQL UDF提权UDFUDF涉及的MySQL的版本区别获取MySQL基本信息secure-file-priv参数在不同版本的默认值lib_mysqludf_sys创建UDF查询已有UDFs在kioptrix 4靶机中测试生成一个新的UDFsys_eval和sys_exec输出结果区别总结 UDF UDFMySQL开放的自定义接口,用户可以设计自定义函数实现自定义功能。 UDF涉及的MySQL的版本区别 MySQL 5.0.67开始,UDF库必须包含在plugin文件夹中,可以使用’@@ plugin
udf mysql提权_mysql udf提权
weixin_42151599的博客
01-18 128
udf提权原理:udf全称为:user defined function,即用户定义函数。通过全称我们可以大致判断出该提权手段是通过mysql声明并使用我们所自定义的可以提权的函数(比如执行系统命令)来进行提权udf的文件后缀为dll。条件:root权限(需要创建和删除自定义函数)mysql < 5.1,udf.dll 文件在 win2003 下放置于 c:\windows\system3...
【数据库提权Mysql-UDF 提权
qq_48201589的博客
06-24 381
UDF(user defined function),用户自定义函数。UDF提权是利用数据库将地权限的shell提权到高权限。当我们通过webshell获取到Apache服务器的权限,而获取到的用户只是网络服务权限www或其他普通用户,则我们可以利用mysqlUDF提权获取到管理员权限。
mysqludf提权
最新发布
10-15
但是,如果攻击者能够创建自己的UDF并将其加载到MySQL中,则可以利用UDF提权攻击,从而获得系统管理员权限。 攻击者可以通过以下步骤进行UDF提权攻击: 1. 创建一个恶意的UDF库文件,其中包含提权代码。 2. 将恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值