【】UDF提权是利用MySQL的自定义函数功能,将MySQL账号转化为系统system权限,其利用条件是目标系统是Windows(Win2000,XP,Win2003);拥有MySQL的某个用户账号,此账号必须有对MySQL的insert和delete权限以创建和抛弃函数;有root账号密码。网上有很多公开的利用程序,下面通过一个实例来介绍MySQL数据库如何利用Udf进行提权。
注:本文是笔者撰写的Mysql安全系列文章的第三篇。
第一篇为《关系型数据库管理系统MySQL提权基础》;
第二篇为《MySQL数据库反弹端口连接提权》。
一、UDF函数简介
1.UDF介绍
UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现在MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像本机函数如ABS()或SOUNDEX()一样方便。UDF官方介绍以及其函数定义请参考(、),除了常见的UDF提权外,其实Udf还有更多更广泛的应用,例如,就提供了非常多的应用:
lib_mysqludf_fPROJ4:一组扩展的科学函数,将地理经度和纬度坐标转换为笛卡尔坐标,反之亦然。
lib_mysqludf_json:用于将关系数据映射到JSON格式的函数的UDF库。
lib_mysqludf_log:用于将调试信息写入日志文件的UDF库。
lib_mysqludf_preg:直接在MySQL中使用PCRE正则表达式
lib_mysqludf_stat:用于统计分析的UDF库。
lib_mysqludf_str:一个带有MySQL附加字符串函数的UDF库
lib_mysqludf_sys:具有与操作系统交互的功能的UDF库。这些函数允许您与MySQL运行的执行环境进行交互。
lib_mysqludf_xml:一个UDF库,用于直接从MySQL创建XML输出。
有三种方法向MySQL添加新函数。
(1)可以通过用户定义的函数(UDF)接口添加函数。用户定义的函数被编译为库文件,然后使用CREATE FUNCTION和DROP FUNCTION语句动态添加到 服务器 或从服务器中删除。
(2)可以将函数添加为本机(内置)MySQL函数。本机函数被编译到 mysqld服务器并永久可用。
(3)添加函数的另一种方法是创建存储的函数。这些是使用SQL语句编写的,而不是通过编译目标代码。
二、Windows下UDF提权的条件和方法
Windows下UDF提权对于Windows2008以下服务器比较适用,也即针对Windows2000、Windows2003的成功率较高。
1. UDF提权条件
(1)Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
(2)Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。
(3)掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备root账号所具备的权限的其它账号也可以。
(4)可以将udf.dll写入到相应目录的权限。
2.提权方法
(1)获取数据库版本、数据位置以及插件位置等信息
(2)导出路径
MYSQL 5.1以上版本,必须要把udf.dll文件放到MYSQL安装目录下的libplugin文件夹下才能创建自定义函数。该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建libplugin文件夹,然后将udf.dll文件导出到该目录即可。
在某些情况下,我们会遇到Can’t open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,网上大牛发现利用NTFS ADS流来创建文件夹的方法:
执行成功以后就会plugin目录,然后再进行导出udf.dll即可。
(3)创建cmdshell 函数,该函数叫什么名字在后续中则使用该函数进行查询:
(4)执行命令:
一般情况下不会出现创建不成功哦。
连不上3389可以先停止windows防火墙和筛选
udf.dll下常见函数:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
具体用户示例:
(5)清除痕迹
删除udf.dll文件以及其它相关入侵文件及日志。
(6)常见错误
在my.ini 或者mysql.cnf 文件中注销 (使用#号) 包含secure_file_priv的行。
1123 – Can’t initialize function ‘backshell’; UDFs are unavailable with the –skip-grant-tables option,需要将my.ini中的skip-grant-tables选项去掉。
三、一个提权实例
1.设置Mysql提权脚本文件
将Mysql提权脚本文件上传到服务器上,运行后,需要对IP地址、UID、passwod、db进行配置,如图1所示,IP地址一般可以设置为localhost、127.0.0.1以及真实IP地址,uid默认为root,其它具有root用户权限的用户名称也可以,pwd为具有root权限用户的密码,db默认选择mysql,单击提交查询内容进行连接测试。
设置Mysql提交脚本文件
2.进行连接测试
连接成功后,会给出相应的提示信息,如图2所示,给出用户,数据库,数据目录(Datadir),基本目录(basedir),版本,插件路径,mysql函数等信息。
连接测试
3.创建“shell”函数
单击“Dump UDF” 将UDF.DLL文件导出到默认的插件目录下,然后再运行“Create Function”将创建“shell”函数。如图3所示,如果前面已经创建过shell函数,则会提示系统中已经存在“shell”函数 。
创建“shell”函数
4.查看用户
在查询窗口中输入“select shell(‘cmd’,’Net user’)”查看系统所有的用户,如图4所示,可以正常查看系统的所有用户信息。
查看用户
5.创建具有管理员权限的用户
分别在查询中输入脚本“select shell(‘cmd’,’net user temp temp123456′)”、“select shell(‘cmd’,’net localgroup administrators temp /add ‘)”并执行该查询命令,如果执行成功,则表示在系统中添加“temp”用户,密码为“temp123456”,同时将该用户添加到管理员组中,使其具备管理员权限,执行成功后如图5,图6所示。
添加temp用户
将用户temp添加到管理员组
6.提权成功
在SQL查询中输入“select shell(‘cmd’,’net localgroup administrators’)”命令查看刚才添加到用户是否真的添加成功,如图7所示,查询结果表明已经将temp用户添加到管理员组中。
查看管理员用户
目前对于一些网站来说,一般都会提供远程终端服务,只要用户添加成功,则可以直接登录该服务器,如图8所示,输入用户名和密码,成功进入该服务器,至此通过mysql的root用户成功提权。
图8成功进入服务器
四、其它提权工具
v5est0r 写了一个Mysql提权综合利用工具,详细情况请参考其代码共享网站:其主要功能有:
1.自动导出你的backdoor和mof文件
2.自动判断mysql版本,根据版本不同导出UDF的DLL到不同目录,UDF提权
3.导出LPK.dll文件,劫持系统目录提权
4.写启动项提权
UdF自动提权:
LPK劫持提权:
启动项提权:
例如通过LOAD_FILE来查看Mysql配置文件my.ini,如果其中配置了skip-grant-tables,这无法进行提权,如图9所示。
查看mysql数据库配置文件内容
五、UDF提权总结与防范
目前安装的Mysql数据库版本基本是高于5.1版本,通过Mysql查询可以导出udf.dll但由于mysql中my.ini文件的配置,有可能会导致无法创建自定义函数。这时候就需要修改my.ini进行重启。
1.提权总结
(1)有webshell的提权
如果获取了webshell则比较简单,目前有很多Mysql提权的PHP脚本,可以比较快速的进行提权,在此不赘述。
(2)无webshell的提权
通过查询将udf.dll转成代码插入数据库,然后导出
(3)使用Python_FuckMySQL工具进行自动提权
2.安全防范方法
(1)尽量避免提供对外链接,通过mysql中的user表进行查看,禁用“%”。
(2)设置复杂的Root账号密码。
(3)对my.ini设置只读属性,设置plugin目录为只读目录。
在struts-config里面怎么配置action
以下是一份完整的文件,配置元素的说明详见注释.-//Apache Software Foundation//DTD Struts Configuration 1.1//ENpath=/ scope=session type=/> type= scope=request validate=true input=/> contentType=text/html;charset=UTF-8 locale=true processorClass=CustomRequestProcessor> null=false parameter=defaultResource/> key=images null=false parameter=ImageResources/> className=> property=pathnames value=/WEB-INF/,/WEB-INF//>
Web怎么用C#语言连接数据库
SQL连接是server=数据库服务器地址;uid=sa;pwd=123;Database=数据名
Access连接是.4.0;Data Source=数据库服务器路径地址
看Spring-cloud怎样使用Ribbon
关注下spring cloud是如何进行客户端负责均衡。 看怎么调用到负载均衡的,怎么定义负载均衡的,然后是怎么实现的?第一个其实可以不用关心,调用的地方应该很多,找到一个地方来说明怎么调用的即可。 第二个,可以猜下,最主要的应该是一个类似 serviceInstance get(string serviceId)这样的方法吧。 第三个问题,明摆着,使用netflix的ribbon呗。 发起一个调用时,LB对输入的serviceId,选择一个服务实例。 IOException {String serviceId = ();ServiceInstanceinstance = (serviceId);URIuri = (instance, originalUri);IClientConfigclientConfig = (());RestClientclient = ((), ); = (());return new RibbonHttpRequest(uri, verb, client, clientConfig);}关键代码看到调用的是一个LoadBalancerClient的choose方法,对一个serviceId,选择一个服务实例。 看下LoadBalancerClient是一个接口:足够简单,只定义了三个方法,根据一个serviceId,由LB选择一个服务实例。 reconstructURI使用Lb选择的serviceinstance信息重新构造访问URI,能想来也就是用服务实例的host和port来加上服务的路径来构造一个真正的刘访问的真正服务地址。 可以看到这个类定义在的package 下面,满篇不见ribbon字样。 只有loadbalancer,即这是spring-cloud定义的loadbalancer的行为,至于ribbon,只是客户端LB的一种实现。 Ribbon的实现定义在中的包下的RibbonLoadBalancerClient。 看下RibbonLoadBalancerClient中choose(String serviceId)方法的实现。 (String serviceId)@Overridepublic ServiceInstancechoose(String serviceId) {Serverserver = getServer(serviceId);return new RibbonServer(serviceId, server, isSecure(server, serviceId),serverIntrospector(serviceId)(server));}看到,最终调到的是ILoadBalancer的chooseServer方法。 即netflix的LB的能力来获取一个服务实例。 protected ServergetServer(String serviceId) {return getServer(getLoadBalancer(serviceId));}protected ServergetServer(ILoadBalancerloadBalancer) {return (“default”); ofkey}至于netflix如何提供这个能力的在另外一篇博文中尝试解析下。
发表评论