【】UDF提权是利用MySQL的自定义函数功能,将MySQL账号转化为系统system权限,其利用条件是目标系统是Windows(Win2000,XP,Win2003);拥有MySQL的某个用户账号,此账号必须有对MySQL的insert和delete权限以创建和抛弃函数;有root账号密码。网上有很多公开的利用程序,下面通过一个实例来介绍MySQL数据库如何利用Udf进行提权。
注:本文是笔者撰写的Mysql安全系列文章的第三篇。
第一篇为《关系型数据库管理系统MySQL提权基础》;
第二篇为《MySQL数据库反弹端口连接提权》。
一、UDF函数简介
1.UDF介绍
UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现在MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像本机函数如ABS()或SOUNDEX()一样方便。UDF官方介绍以及其函数定义请参考(、),除了常见的UDF提权外,其实Udf还有更多更广泛的应用,例如,就提供了非常多的应用:
lib_mysqludf_fPROJ4:一组扩展的科学函数,将地理经度和纬度坐标转换为笛卡尔坐标,反之亦然。
lib_mysqludf_json:用于将关系数据映射到JSON格式的函数的UDF库。
lib_mysqludf_log:用于将调试信息写入日志文件的UDF库。
lib_mysqludf_preg:直接在MySQL中使用PCRE正则表达式
lib_mysqludf_stat:用于统计分析的UDF库。
lib_mysqludf_str:一个带有MySQL附加字符串函数的UDF库
lib_mysqludf_sys:具有与操作系统交互的功能的UDF库。这些函数允许您与MySQL运行的执行环境进行交互。
lib_mysqludf_xml:一个UDF库,用于直接从MySQL创建XML输出。
有三种方法向MySQL添加新函数。
(1)可以通过用户定义的函数(UDF)接口添加函数。用户定义的函数被编译为库文件,然后使用CREATE FUNCTION和DROP FUNCTION语句动态添加到 服务器 或从服务器中删除。
(2)可以将函数添加为本机(内置)MySQL函数。本机函数被编译到 mysqld服务器并永久可用。
(3)添加函数的另一种方法是创建存储的函数。这些是使用SQL语句编写的,而不是通过编译目标代码。
二、Windows下UDF提权的条件和方法
Windows下UDF提权对于Windows2008以下服务器比较适用,也即针对Windows2000、Windows2003的成功率较高。
1. UDF提权条件
(1)Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
(2)Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。
(3)掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备root账号所具备的权限的其它账号也可以。
(4)可以将udf.dll写入到相应目录的权限。
2.提权方法
(1)获取数据库版本、数据位置以及插件位置等信息
(2)导出路径
MYSQL 5.1以上版本,必须要把udf.dll文件放到MYSQL安装目录下的libplugin文件夹下才能创建自定义函数。该目录默认是不存在的,这就需要我们使用Webshell找到MYSQL的安装目录,并在安装目录下创建libplugin文件夹,然后将udf.dll文件导出到该目录即可。
在某些情况下,我们会遇到Can’t open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,网上大牛发现利用NTFS ADS流来创建文件夹的方法:
执行成功以后就会plugin目录,然后再进行导出udf.dll即可。
(3)创建cmdshell 函数,该函数叫什么名字在后续中则使用该函数进行查询:
(4)执行命令:
一般情况下不会出现创建不成功哦。
连不上3389可以先停止windows防火墙和筛选
udf.dll下常见函数:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
具体用户示例:
(5)清除痕迹
删除udf.dll文件以及其它相关入侵文件及日志。
(6)常见错误
在my.ini 或者mysql.cnf 文件中注销 (使用#号) 包含secure_file_priv的行。
1123 – Can’t initialize function ‘backshell’; UDFs are unavailable with the –skip-grant-tables option,需要将my.ini中的skip-grant-tables选项去掉。
三、一个提权实例
1.设置Mysql提权脚本文件
将Mysql提权脚本文件上传到服务器上,运行后,需要对IP地址、UID、passwod、db进行配置,如图1所示,IP地址一般可以设置为localhost、127.0.0.1以及真实IP地址,uid默认为root,其它具有root用户权限的用户名称也可以,pwd为具有root权限用户的密码,db默认选择mysql,单击提交查询内容进行连接测试。
设置Mysql提交脚本文件
2.进行连接测试
连接成功后,会给出相应的提示信息,如图2所示,给出用户,数据库,数据目录(datadir),基本目录(basedir),版本,插件路径,mysql函数等信息。
连接测试
3.创建“shell”函数
单击“Dump UDF” 将UDF.DLL文件导出到默认的插件目录下,然后再运行“Create Function”将创建“shell”函数。如图3所示,如果前面已经创建过shell函数,则会提示系统中已经存在“shell”函数 。
创建“shell”函数
4.查看用户
在查询窗口中输入“select shell(‘cmd’,’net user’)”查看系统所有的用户,如图4所示,可以正常查看系统的所有用户信息。
查看用户
5.创建具有管理员权限的用户
分别在查询中输入脚本“select shell(‘cmd’,’net user temp temp123456′)”、“select shell(‘cmd’,’net localgroup administrators temp /add ‘)”并执行该查询命令,如果执行成功,则表示在系统中添加“temp”用户,密码为“temp123456”,同时将该用户添加到管理员组中,使其具备管理员权限,执行成功后如图5,图6所示。
添加temp用户
将用户temp添加到管理员组
6.提权成功
在SQL查询中输入“select shell(‘cmd’,’net localgroup administrators’)”命令查看刚才添加到用户是否真的添加成功,如图7所示,查询结果表明已经将temp用户添加到管理员组中。
查看管理员用户
目前对于一些网站来说,一般都会提供远程终端服务,只要用户添加成功,则可以直接登录该服务器,如图8所示,输入用户名和密码,成功进入该服务器,至此通过mysql的root用户成功提权。
图8成功进入服务器
四、其它提权工具
v5est0r 写了一个Mysql提权综合利用工具,详细情况请参考其代码共享网站:其主要功能有:
1.自动导出你的backdoor和mof文件
2.自动判断mysql版本,根据版本不同导出UDF的DLL到不同目录,UDF提权
3.导出LPK.dll文件,劫持系统目录提权
4.写启动项提权
UdF自动提权:
LPK劫持提权:
启动项提权:
例如通过LOAD_FILE来查看Mysql配置文件my.ini,如果其中配置了skip-grant-tables,这无法进行提权,如图9所示。
查看mysql数据库配置文件内容
五、UDF提权总结与防范
目前安装的Mysql数据库版本基本是高于5.1版本,通过Mysql查询可以导出udf.dll但由于mysql中my.ini文件的配置,有可能会导致无法创建自定义函数。这时候就需要修改my.ini进行重启。
1.提权总结
(1)有webshell的提权
如果获取了webshell则比较简单,目前有很多Mysql提权的PHP脚本,可以比较快速的进行提权,在此不赘述。
(2)无webshell的提权
通过查询将udf.dll转成代码插入数据库,然后导出
(3)使用Python_FuckMySQL工具进行自动提权
2.安全防范方法
(1)尽量避免提供对外链接,通过mysql中的user表进行查看,禁用“%”。
(2)设置复杂的Root账号密码。
(3)对my.ini设置只读属性,设置plugin目录为只读目录。
ASP连接SQL出问题报'800a0411' 错误
请把该文件代码中的第8行 Dim MM_WebData_STRING
删除!或者注释为: Dim MM_WebData_STRING
看Spring-cloud怎样使用Ribbon
关注下spring cloud是如何进行客户端负责均衡。 看怎么调用到负载均衡的,怎么定义负载均衡的,然后是怎么实现的?第一个其实可以不用关心,调用的地方应该很多,找到一个地方来说明怎么调用的即可。 第二个,可以猜下,最主要的应该是一个类似 serviceInstance get(string serviceId)这样的方法吧。 第三个问题,明摆着,使用netflix的ribbon呗。 发起一个调用时,LB对输入的serviceId,选择一个服务实例。 IOException {String serviceId = ();ServiceInstanceinstance = (serviceId);URIuri = (instance, originalUri);IClientConfigclientConfig = (());RestClientclient = ((), ); = (());return new RibbonHttpRequest(uri, verb, client, clientConfig);}关键代码看到调用的是一个LoadBalancerClient的choose方法,对一个serviceId,选择一个服务实例。 看下LoadBalancerClient是一个接口:足够简单,只定义了三个方法,根据一个serviceId,由LB选择一个服务实例。 reconstructURI使用Lb选择的serviceinstance信息重新构造访问URI,能想来也就是用服务实例的host和port来加上服务的路径来构造一个真正的刘访问的真正服务地址。 可以看到这个类定义在的package 下面,满篇不见ribbon字样。 只有loadbalancer,即这是spring-cloud定义的loadbalancer的行为,至于ribbon,只是客户端LB的一种实现。 Ribbon的实现定义在中的包下的RibbonLoadBalancerClient。 看下RibbonLoadBalancerClient中choose(String serviceId)方法的实现。 (String serviceId)@Overridepublic ServiceInstancechoose(String serviceId) {Serverserver = getServer(serviceId);return new RibbonServer(serviceId, server, isSecure(server, serviceId),serverIntrospector(serviceId)(server));}看到,最终调到的是ILoadBalancer的chooseServer方法。 即netflix的LB的能力来获取一个服务实例。 protected ServergetServer(String serviceId) {return getServer(getLoadBalancer(serviceId));}protected ServergetServer(ILoadBalancerloadBalancer) {return (“default”); ofkey}至于netflix如何提供这个能力的在另外一篇博文中尝试解析下。
sql server2005新建服务器失败.
SQL Server 2005 不允许远程连接解决方法做课程设计时,很多学生都遇到这个问题。 把解决方法写在这儿,供参考。 刚刚安装的数据库系统,按照默认安装的话,很可能在进行远程连接时报错,通常是错误:在连接到 SQL Server 2005 时,在默认的设置下 SQL Server 不允许进行远程连接可能会导致此失败。 (provider: 命名管道提供程序, error: 40 - 无法打开到 SQL Server 的连接) 搜MSDN,上面有一片机器翻译的文章,是在让人难以明白,现在总结如下:明白了SQL Server是个网络数据库就可迎刃而解了,简单的分为下面的集中情况。 1. 数据库引擎没有启动。 有两种启动方式:(1)开始->程序->Microsoft SQL Server 2005->SQL Server 2005外围应用配置器,在打开的界面单击服务的连接的外围应用配置器,在打开的界面中找到Database Engine,单击服务,在右侧查看是否已启动,如果没有启动可单击启动,并确保启动类型为自动,不要为手动,否则下次开机时又要手动启动;(2)可打开:开始->程序->Microsoft SQL Server 2005->配置工具->SQL Server Configuration Manager,选中SQL Server 2005服务中SQL Server(MSSQLSERVER) ,并单击工具栏中的启动服务按钮把服务状态改为启动;使用上面两种方式时,有时候在启动的时候可能会出现错误,不能启动,这时就要查看SQL Server 2005配置管理器中的SQL Server 2005网络配置->MSSQLSERVER协议中的VIA是否已启用,如果已启用,则把它禁止.然后再执行上述一种方式操作就可以了.2. 是否已经允许远程连接。 这个部分可以简单的分为4个方面,分别是在 SQL Server上启用远程连接、启用SQL Server 浏览服务、在Windows 防火墙中为SQL Server 2005 创建例外和在Windows 防火墙中为“SQLBrowser”创建例外。 下面是几个具体的操作方式,摘自MSDN,个人觉得文章的黑体部分应当特别的一起我们的注意。 在SQLServer 实例上启用远程连接1.指向“开始->程序->Microsoft SQL Server 2005->配置工具->SQL Server 外围应用配置器”2.在“SQL Server 2005 外围应用配置器”页, 单击“服务和连接的外围应用配置器”3.然后单击展开“数据库引擎”, 选中“远程连接”,在右边选中“本地连接和远程连接”,再选择要使用的协议,( 这个地方应当启用TCP/IP 和命名管道服务!)单击“应用”,您会看到下消息:“直到重新启动数据库引擎服务后,对连接设置所做的更改才会生效。 ”,单击“确定”按钮返回4.展开“数据库引擎”, 选中“服务”,在右边单击“停止”,等到 MSSQLSERVER 服务停止,然后单击“启动”,重新启动MSSQLSERVER 服务。 启用 SQLServer 浏览器服务1.指向“开始->程序->Microsoft SQL Server 2005->配置工具->SQL Server 外围应用配置器”2.在“SQL Server 2005 外围应用配置器”页, 单击“服务和连接的外围应用配置器”3.然后单击展开“SQL Server Browser”, 选中“服务”,在右边“启动类型”选择“自动”,再单击“启动”,单击“确定”按钮返回在Windows 防火墙中为“SQL Server 2005”创建例外1.在 Windows 防火墙设置界面中,选择“ 例外” 选项卡,然后单击“添加程序”2.在“添加程序窗口”中单击“浏览”3.然后找到“C:\ProgramFiles\Microsoft Files\Microsoft SQL Server\ MSSQL.1 \MSSQL\Binn\”,单击“确定”返回注意 : 路径可能会根据 SQL Server 2005 安装不同而不同。 MSSQL.1 是占位符,对应数据库实例ID。 4.对每个需要打开远程访问的SQL Server 2005 实例,重复步骤 1 至 3。 在Windows 防火墙中为“SQLBrowser”创建例外1.在 Windows 防火墙设置界面中,选择“ 例外” 选项卡,然后单击“添加程序”2.在“添加程序窗口”中单击“浏览”3.然后找到“C:\ProgramFiles\Microsoft Files\Microsoft SQL Server\90\Shared\”,单击“确定”返回注意 : 路径可能会根据 SQL Server 2005 安装不同而不同。 在使用开发进行时,会遇到使用连接字符串连接SQL Server 2005数据库使用机器名称和localhost都能连接,但是使用IP地址却不能连接的问题,解决的办法是在SQL Server实例上启用本地和远程连接,并且在选择协议的时候使用TCP/IP和命名管道服务即可解决。
发表评论