溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

MySQL中怎么實現(xiàn)udf提權(quán)

發(fā)布時間:2021-07-13 14:58:46 來源:億速云 閱讀:168 作者:Leah 欄目:大數(shù)據(jù)

MySQL中怎么實現(xiàn)udf提權(quán),針對這個問題,這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

UDF(user defined function)用戶自定義函數(shù),是mysql的一個拓展接口。用戶可以通過自定義函數(shù)實現(xiàn)在mysql中無法方便實現(xiàn)的功能,其添加的新函數(shù)都可以在sql語句中調(diào)用,就像調(diào)用本機函數(shù)一樣。

0x02 Windows提權(quán)的條件

1.如果mysql版本大于5.1,udf.dll文件必須放置在mysql安裝目錄的lib\plugin文件夾下

2.如果mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目錄,在windows server 2000下放置在c:\winnt\system32目錄

3.所擁有的權(quán)限必須有insert和delete的權(quán)限

4.具有目錄的寫權(quán)限

以上的條件是從網(wǎng)上搜集來的,并沒有做完全的測試

這里我使用的版本是MySQL5.5.56,使用的權(quán)限是root權(quán)限,而且我將

secure-file-priv參數(shù)也已經(jīng)設(shè)置為空,這里大家也再注意一下。

在高版本中,secure-file-priv參數(shù)是非常重要的,它限制了MySQL的導(dǎo)出,該參數(shù)為NULL時不允許導(dǎo)出、該參數(shù)為空時允許在任意文件夾中導(dǎo)出、該參數(shù)為某文件夾時允許在該文件夾中導(dǎo)出。

具體情況如下:

MySQL5.5版本:my.ini中無此參數(shù),查詢該參數(shù)情況為NULL。

MySQL5.6版本:my.ini中無此參數(shù),查詢該參數(shù)情況為空。

MySQL5.7版本:my.ini中有此參數(shù),查詢該參數(shù)情況為數(shù)據(jù)目錄下的Upload文件夾。

其他版本的,大家自行進行測試。

0x03 利用過程

根據(jù)提權(quán)的條件,此版本應(yīng)該將dll文件放到lib\plugin目錄下,而且這里我碰到了一個玄學(xué)問題,在網(wǎng)上都說lib和plugin文件夾是需要自己手動來創(chuàng)建的,而我安裝好之后,兩個文件夾居然自己就存在了,暫不知道是什么原因

MySQL中怎么實現(xiàn)udf提權(quán)

這里也就再順便提一下,雖然網(wǎng)上一直都在說使用NTFS ADS流來創(chuàng)建文件,這個我還沒有執(zhí)行成功過,會一直報錯的,暫時還不知道原因,如果有大佬知道請告知,如果之后我研究出來了,再發(fā)布出來吧

MySQL中怎么實現(xiàn)udf提權(quán)

之后就是傳提權(quán)文件了,這里大家不用去求別人了,神器sqlmap里面就已經(jīng)有自帶的了,只需要拿出來進行解密就可以了。

MySQL中怎么實現(xiàn)udf提權(quán)

這里可以看到他并不是正常的dll文件,因為sqlmap中提供的是通過異或編碼了的,使用前是需要進行解密的,解密工具sqlmap也有自帶了,在sqlmap\extra\cloak文件中

MySQL中怎么實現(xiàn)udf提權(quán)

直接使用就可以進行解碼了,使用之后會在通目錄下生成解密后的文件

MySQL中怎么實現(xiàn)udf提權(quán)

之后將其改名后,通過各種方法,將它放到lib\plugin目錄下就可以了

MySQL中怎么實現(xiàn)udf提權(quán)

然后就可以進行創(chuàng)建函數(shù)了,這里大家再注意一下,需要使用十六進制編輯器去看一下這個dll文件支持創(chuàng)建什么函數(shù)

MySQL中怎么實現(xiàn)udf提權(quán)

這里我們可以看出來,可以創(chuàng)建sys_exec和sys_eval等函數(shù),這里還有一個坑,也不知道是不是我操作的原因,這里如果我創(chuàng)建sys_exec函數(shù)的話,在執(zhí)行命令之后,MySQL服務(wù)會徹底崩潰掉,使用sys_eval函數(shù)則沒有任何問題,我們這里直接創(chuàng)建函數(shù)

create function sys_eval returns string soname 'udf.dll';

MySQL中怎么實現(xiàn)udf提權(quán)

然后直接進行執(zhí)行就可以了

select sys_eval('whoami');

MySQL中怎么實現(xiàn)udf提權(quán)

在使用完成之后,一定要及時將其刪除

drop function sys_eval;delete from mysql.func where name='sys_eval';

MySQL中怎么實現(xiàn)udf提權(quán)

關(guān)于MySQL中怎么實現(xiàn)udf提權(quán)問題的解答就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI