udf提权总结(Mysql)

最新推荐文章于 2024-10-10 08:20:15 发布

Mikasa_

最新推荐文章于 2024-10-10 08:20:15 发布

阅读量934

点赞数

分类专栏： webshell

本文链接：https://blog.youkuaiyun.com/mikasa_/article/details/89878927

版权

webshell 专栏收录该内容

2 篇文章

订阅专栏

本文介绍了MySQL中的用户定义函数(UDF)提权技术，包括如何使用sqlmap解密加密的DLL文件，如何在MySQL命令行创建命令执行函数，以及如何利用UDF执行系统命令。虽然尝试自动注入DLL失败，但提供了相关参考链接以供进一步研究。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

什么是udf

 udf = ‘user defined function‘，即‘用户自定义函数’。
 是通过添加新函数，对MYSQL的功能进行扩充，性质就象使用本地MYSQL函数如abs()或concat()。
 udf在mysql5.1以后的版本中，存在于‘mysql/lib/plugin’目录下，文件后缀为‘.dll’，常用c语言编写。

既然支持自定义函数那么我们如果想定义一个可以执行系统命令的函数也是可以的吧？

于是就有了udf提权。。

怎么使用udf提权呢

首先在sqlmap中就已经集成了这个dll。储存与SQLMAP相对路径下的 /udf/msql中
在这里插入图片描述
可以看到并不是一个dll文件，这是因为sqlmap防止查杀将文件做了加密。。需要我们用sqlmap自带的脚本解密一下。
该脚本位于sqlmap相对路径下的 /extra/cloak
在这里进行解密
打开cmd,定位到这个路径。。
输入命令： python2 cloak.py -d -i E:\pythpn27\SQLMap\udf\mysql\windows\32\lib_mysqludf_sys.dll_

注意：后面的路径就是你的dll_文件的绝对路径

解密后就有了这个dll文件。。
在这里插入图片描述

于是进入mysql命令行或其他可以执行命令的地方。。

执行以下命令（用于收集信息）：

select  @@plugin_dir;   得到dll文件的储存位置

在这里插入图片描述

接下来将我们解密出来的dll文件复制到这个目录下

在这里插入图片描述

进入命令行创建命令执行函数(这里面提供两个)：

create function  sys_eval returns string soname 'lib_mysqludf_sys.dll';
create function  sys_exec returns string soname 'lib_mysqludf_sys.dll';

创建完成后就可以直接运用执行系统命令了。
在这里插入图片描述
弹注册表。。

可以看到直接调用到了cmd来执行命令。

总结：原本想用sqlmap进行自动化的注入dll文件的。。但是发现没有权限写入。。。。。

下次试试win7吧。。

参考文章:https://www.sohu.com/a/246939954_610486
https://www.cnblogs.com/websecyw/p/9172994.html