udf提權

0x00前言:php

udf提權是經過數據庫來實現獲取目標的管理員的shell,來達到從低權限提權到高權限html

 

0x01什麼是udf:python

udf(Userdefined function)是用戶自定義函數mysql

在mysql中函數是什麼,好比mysql中常見的sleep(),sum(),ascii()等都是函數linux

udf就是爲了讓咱們開發者可以本身寫方便本身函數,它有3種返回值,這三種分別是STRING,INTEGER,REALgit

STRING        字符型
INTEGER       整型
REAL          實數型

 

定義格式github

#建立自定義函數
CREATE
[AGGREGATE] FUNCTION function_name RETURNS {STRING|INTEGER|REAL} SONAME '文件名'
[AGGREATE]是彙集函數的表示,系統定義的彙集函數好比有
COUNT()、AVE()、MN()、MAX()、SUM()
SONAME 'file'表示這個函數從哪一個文件裏面引入,而這個文件通常是動態連接庫,windows下是dll,linux是so,而且這個文件要在mysql的plugin目錄下

#刪除自定義函數
DROP FUNCTION function_name

特別注意mysql版本若是是在5.1如下udf.dll文件在windows server 2003下放置於c:\windows\system32目錄,在windows server 2000下放置在c:\winnt\system32目錄web

若是顏刪除函數,必須udf文件還存在plugin目錄下sql

舉個例子,mysql加載了udf.so文件中的某個函數,而後在沒有刪除這個函數前,把plugin目錄下導入的這個udf.so文件利用rm命令刪除了,那麼這個導入mysql的函數就沒法被刪除,沒有找到解決辦法,若是後面新創的函數名字和該函數相沖突,mysql還不容許建立,因此請注意一下。(我被坑了,重裝了mysql才終於把那個自定義導入的函數刪掉了) shell

 

0x02一道CTF題目:

首先看一道jarvis OJ的一道web題目RE?,來明確如何使用用戶自定義函數

https://dn.jarvisoj.com/challengefiles/udf.so.02f8981200697e5eeb661e64797fc172

題目下載下來的是一個so文件,那麼明顯就是針對linux系統,首先可用linux進mysql看看本身的plugin文件夾在哪

這裏我ubuntu虛擬機是在/usr/lib/mysql/plugin/下,把下載的文件拖進虛擬機並copy過去

可是有個問題,咱們不知道這個so文件有哪些函數怎麼辦(雖然題目提示有個help_me),這裏能夠用ida逆向工具打開這個so文件

能夠看到這裏面有函數的名字,因而在linux下的mysql裏面先加載help_me看看效果

那麼繼續加載getflag這個函數(請忽略輸入錯誤的語句.....),最終獲取了flag

那麼要刪除這2個函數也很簡單實用drop function語句便可

 

0x03UDF利用:

迴歸正題,那麼這幾個udf提權文件從哪裏來,msf和sqlmap下都有

metasploit下的動態連接庫

sqlmap下的動態連接庫

我在這裏把metasploit下的4個文件copy出來,sqlmap下的4個udf文件是通過編碼的,若是直接丟在mysql的plugin目錄下是沒法加載的,須要用sqlmap/extra/cloak/cloak.py進行解碼

在sqlmap/extra/cloak/目錄下使用如下命令,生成的udf文件就會出如今當前文件夾中

python .\cloak.py -d -i ..\..\udf\mysql\linux\64\lib_mysqludf_sys.so_ -o linux_udf_64.so

首先能夠向上面作題的時候瞧瞧這個so文件裏面的函數

 那麼將文件丟到剛剛的ubuntu下,並添加udf是成功的,可是一運行的時候會斷開鏈接

 

我又用msf的做用於windows的udf.dll文件上,在win7的虛擬機運行,也是斷開鏈接

最早我在思考是爲何會出現這種狀況,最早懷疑udf文件能加載那麼多是mysql版本的問題,可是最後看國外的一篇udf提權的文章,最後僅簡單的提了一句msf的udf文件原C++函數沒有寫異常處理,那麼mysql加載的時候會使mysql出錯致使斷開鏈接。

而後我比較了下msf和sqlmap的udf文件,發現其實2個文件是如出一轍的,也就是若是單獨拿出來會在有些環境下(好比我本身的ubuntu16.04 mysql5.7和win7 phpstudy mysql5.5)的環境下會出現沒法運行。

最後在解決這個問題上是,藉助大馬的udf提權模塊可以獲取windows的32位和64位的udf文件,而且可以成功運行。(大馬是具體是哪一個這裏就不透露了,有興趣能夠去github翻翻,或者網上查查)

這個大馬的udf.dll文件是20k,而msf的udf文件廣泛只有7~8k,估計裏面寫了不少操做(可能有後門,不是很安全,因此我就不在這透露了)

至於linux如何解決,目前我尚未找到現場能直接用的文件,若是能夠那麼就本身寫C++吧。

 

0x04關於mysql寫文件的注意:

mysql有個配置是叫secure_file_priv,該參數來以爲mysql能夠對哪一個目錄進行可寫操做,在剛裝的mysql上該參數是沒有寫的(不是爲空是沒有寫,也就是被註釋掉的)

在mysql5.5以前 secure_file_priv默認是空,這個狀況下能夠向任意絕對路徑寫文件

在mysql5.5以後 secure_file_priv默認是NULL,這個狀況下不能夠寫文件

可是若是mysql的配置文件中添加,那麼就和mysql5.5以前同樣,爲空,能夠爲任意目錄寫文件

而在mysql5.7後 secure_file_priv會默認一個目錄,固然這個不是web的目錄.....

因此如今經過mysql來寫webshell是愈來愈困難了,可是不排除一些配置錯誤致使的咱們「有隙可乘」

 

0xff結語:

此次udf提權的學習,也讓我理清一條攻擊思路,若是挖到sql注入,

查數據庫密碼和帳號,看看是否是能遠程鏈接

mysql5.7版本以後有個system能夠直接執行命令

能夠經過union select 來利用load_file或者dumpfile或者outfile向絕對路徑目錄寫webshell

拿到webshell能夠鏈接數據庫,可以寫文件的話,利用udf提權

 

參考:

https://www.jianshu.com/p/5b34c1b6dee7

http://www.360doc.com/content/18/0228/22/31784658_733287732.shtml

http://www.javashuo.com/article/p-yffyavfk-k.html

相關文章
相關標籤/搜索