mysql数据库udf提权
UDF (user defined function),即用户自定义函数。通过添加新函数,对MySQL数据库的功能进行扩充,就像使用本地MySQL函数如 database() 或 version() 一样。
mysql数据库udf提权步骤
1. 在mysql>5.1版本,udf.dll应放置在mysql安装目录的lib\plugin下。
在mysql<5.1版本,udf.dll应放置在C:\windows或者C:\windows\system32目录
图片1.png (35.21 KB, 下载次数: 0)
2021-1-6 11:15 上传
查看mysql数据库版本是5.5.47,所以udf.dll应该放置在mysql\lib\plugin目录下,由于mysql安装目录下lib\plugin是不存在的,所以手工创建好
图片2.png (53.22 KB, 下载次数: 0)
2021-1-6 11:16 上传
2,查看数据库的导入导出文件权限,可以在my.ini配置文件修改secure_file_priv的值
Secure_file_priv=’ ’ 表示不对数据库的导入导出权限做限制
Secure_file_priv=\C:\ 表示数据库仅允许在C:下有导入导出权限
Secure_file_priv=’null’ 表示数据库不允许导入导出
图片3.png (28.75 KB, 下载次数: 0)
2021-1-6 11:17 上传
3,查看主机操作系统与数据库的位数,查看到都是32位
图片4.png (31.36 KB, 下载次数: 1)
2021-1-6 11:17 上传
4查看plugin的绝对路径,plugin的绝对路径为C:\phpstudy\mysql\lib\plugin
图片5.png (42.6 KB, 下载次数: 0)
2021-1-6 11:18 上传
5查看数据库是否允许远程连接,查看到root用户都是仅允许本地连接
图片6.png (39.35 KB, 下载次数: 0)
2021-1-6 11:18 上传
图片7.png (46.55 KB, 下载次数: 0)
2021-1-6 11:19 上传
后面使用msf向mysql数据库写入udf.dll,所以需要远程连接数据库,这里进行修改允许数据库进行远程连接,修改完后并重新启动phpstudy
图片8.png (44.55 KB, 下载次数: 0)
2021-1-6 11:19 上传
图片9.png (58.69 KB, 下载次数: 0)
2021-1-6 11:19 上传
6 启动msf,加载exploit/multi/mysql/mysql_udf_payload模块
图片10.png (124.21 KB, 下载次数: 1)
2021-1-6 11:21 上传
加资完模块后,设置好远程连接数据库的地址,连接数据库的用户名和密码。开始攻击
图片11.png (112.57 KB, 下载次数: 1)
2021-1-6 11:21 上传
图片12.png (157.24 KB, 下载次数: 0)
2021-1-6 11:22 上传
7 攻击完成后,打开C:\pypstudy\mysql\lib\plugin,可以看到新生成的hHhBWijL.dll (dll名称是随机的)。
图片13.png (69.26 KB, 下载次数: 0)
2021-1-6 11:22 上传
8 hHhBWijL.dll文件中包含sys_exec()和sys_eval()两个函数,但是默认只创建sys_exec()函数,sys_exec()函数没有回显,执行正确时返回值为0,执行结果错误时返回值为1。我们可以手动创建 sys_eval() 函数,来执行有回显的命令。
Select sys_exec(‘whoami’)执行正确返回值为0
图片14.png (41.69 KB, 下载次数: 0)
2021-1-6 11:24 上传
Select sys_exec(‘whoami222222’)执行错误返回值为1
图片15.png (40.91 KB, 下载次数: 0)
2021-1-6 11:24 上传
9使用hHhBWijL.dll创建 sys_eval() 函数,并用sys_eval()函数执行whoami,有回显
图片16.png (43.13 KB, 下载次数: 0)
2021-1-6 11:25 上传