本文介绍如何通过MySQL存储过程实现权限绕过,使普通用户能够执行通常仅ROOT用户才能执行的操作,例如读取文件。文章还展示了如何创建、查看及删除存储过程,并提供了测试示例。
老早就有人提出来过了, 不是什么新技术,写在这里当备忘而已。没做过多的测试,有些东西也是按我自己的理解说的,有错误请指出。
若使用ROOT用户来创建一个存储过程 ,然后赋予另一个用户此存储过程的执行权限,则此用户将可以进行一些ROOT账号才可以进行的操作。但是这些操作是预先被定义在存储过程里面的。
比如ROOT在test数据库创建了一个读取文件的存储过程readf:
|
1
2
3
4
5
6
7
|
use test;
delimiter //
create
procedure
readf(f
varchar
(100))
begin
select
load_file(f);
end
//
delimiter ;
|
然后使用一个没有FILE权限但是有EXECUTE权限的账号来调用这个存储过程,拥有EXECUTE权限才可以调用存储过程:
|
1
|
call test.readf(
'c:\\boot.ini'
)
|
可以发现文件照样被读出来了。。
利用
|
1
|
drop
procedure
readf;
|
来删除这个存储过程
下面这段代码也许可以说明一些什么:
|
1
2
3
4
5
6
7
|
use test;
delimiter //
create
procedure
whoami()
begin
select
concat(
'user():'
,
user
())
as
'whoami'
union
select
concat(
'current_user():'
,
current_user
());
end
//
delimiter ;
|
以ROOT身份创建这个存储过程 ,再以ROOT身份来执行
结果是:
+——————————————+
| whoami |
+——————————————+
| user():root@localhost |
| current_user():root@localhost |
+——————————————+
再以ninty账号来执行这个存储过程:
+—————————————–+
| whoami |
+—————————————–+
| user():ninty@localhost |
| current_user():root@localhost |
+—————————————–+
PS:
可以通过show grants来看看自己是否有EXECUTE的权限
查看MYSQL中存储过程的方法:
1.
|
1
|
select
*
from
mysql.proc
-- (mysql中的函数就保存在mysql.func表里面)默认只有ROOT用户才可以查询。
|
2.
|
1
|
select
ROUTINE_SCHEMA,ROUTINE_NAME,DEFINER,ROUTINE_DEFINITION
from
information_schema.ROUTINES;
--谁都可以查
|
3.
|
1
|
show
procedure
status
--这个只有当当前账号有EXECUTE权限的时候,才能够列出存储过程。如果拥有全局的EXECUTE权限,就可以看到所有的存储过程,如果只拥有当前库的EXECUTE权限,就只能看到当前库里面的存储过程。
|
SQL SERVER 05得到用户自定义存储过程:
|
1
|
SELECT
[
name
]
FROM
sys.all_objects
WHERE
[type]=
'P'
and
charindex(
'sp'
,[
name
])<>1
and
charindex(
'xp'
,[
name
])<>1
|
或者可以查询sys.procedures,不过听人说好像因为一些未知的原因,从这里查出的数据并不全。。
本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/571115,如需转载请自行联系原作者
扫一扫
185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
