A propos de l'UDF mentionnent le droit
UDF est une vulnérabilité d'élévation de privilèges dans la base de données mentionne le droit de mentionner le droit de MySQL. UDF est une interface d'extension Mysql peut également être appelée une fonction définie par l' utilisateur, qui est utilisé pour développer des moyens techniques Mysql, on peut dire une extension de la fonction de base de données, les fonctions définies par l' utilisateur ne peut pas être facile à réaliser en fonction Mysql les nouvelles fonctions sont ajoutées peuvent être invoquées dans les instructions SQL
UDF mentionnent le droit d'utiliser la fonction personnalisée est la fonction de Mysql, compte Mysql sera converti aux privilèges de sysytem du système.
Mentionner les bonnes conditions
1) La version Mysql est supérieure à 5.1 fichier udf.dll doit être placé dans le répertoire d'installation de MYSQL lib \ dossier plugin.
(2) La version Mysql est inférieure à 5.1 fichiers udf.dll dans la décentralisation Windows2003 placé c: \ windows \ system32, la décentralisation Windows2000 placé dans c: \ WINNT \ system32
(3) base de données de compte mysql maître MySQL doivent insérer et autorisations de suppression pour créer et fonctions de goutte, généralement préférés au compte racine, le compte root à d' autres comptes ont des autorisations peuvent également être
(4) peut être écrit udf.dll aux autorisations de répertoire approprié.
Note également:
dans mysql4.1 versions précédentes, peut être une fonction dans tous les fichiers DLL sont enregistrés à l' intérieur MYSQL MYSQL pour les appels.
Dans les versions 4,1-5,1, avec des restrictions sur l'emplacement de la DLL enregistrée, créer une fonction du temps, ne peut pas contenir la DLL / ou \, simple correspondant à comprendre qu'ils ne peuvent pas être un chemin absolu. Par conséquent, nous publierons la DLL dans le répertoire system32, sauter limite, ou mettre à la racine par la lettre c: sauter cette limite sous forme de libellé de udf.dll. En fait, je sais que la dll dans le répertoire system32 dans un répertoire, avec des résultats dans la variable d'environnement de chemin système indiqué ci - dessous, la déclaration suivante pour créer une fonction sont corrects:
la Création fonction retourne une chaîne cmdshell le soname « UDF. DLL « ;
// en supposant udf.dll être téléchargé dans le répertoire c: \ windows \ system32
Fonction String Renvoie la soname la cmdshell Créer « c: udf.dll »;
// en supposant udf.dll être téléchargé dans le répertoire du répertoire racine c
Plusieurs versions mysql5.1 et après l'ajout d'une limite: Lors de la création d'une fonction DLL ne peut être utilisé dans le répertoire mysql plug-in, et par défaut répertoire plug-in n'existe pas, peut-être dans l'ordre par le biais du fichier d'exportation DLL écrit dans ce dossier, de sorte que le droit de principe UDF, d'abord déterminer quelle version de MySQL est nécessaire.
Procédé d'opération d'extraction
(1) après la connexion a été webshell par un couteau de cuisine, en utilisant une fonction de gestion de base de données pour essayer d'UDF mentionner le droit, les colonnes de configurer dans le remplissage de la base de données les informations suivantes et entrez propose la gestion de base de données:
(2) Nous entrons dans l'instruction suivante dans le hachoir page de la fonction de gestion de base de données et exécution, afficher les informations de version de base de données:
ici nous savons, mySQL version 5.5.40
(3) Fichier DLL Exporter les
requêtes Mysql répertoire racine de l'installation:
le tableau ci - dessus nous avons appris le répertoire racine de Mysql du serveur cible est:
C: / Program Files / phpStudy / Mysql /
selon la version Mysql5.1 et nous a dit plus tôt, nous utilisons une fonction personnalisée à la coquille doit être répertoire exporté:
C: / Program Files / phpStudy / Mysql / lib / plugin
peut effectivement obtenir le répertoire du plugin (pas nécessairement réel) par les énoncés suivants
montrent des variables telles que « % plug - in% « ,
nous pouvons trouver un répertoire de téléchargement de fichiers à nous udf.dll prêts à télécharger,
après udf.dll uploadés à chemin absolu du serveur:
C: /www/udf.dll
nous avons les moyens suivants pour télécharger udf fichier .dll est exporté vers Mysql l' héritage des autorisations dans le répertoire de plug - in, exécutez l'instruction suivante:
SELECT load_file ( 'C: /www/udf.dll') INTO dUMPFILE « C: /ProgramFiles/phpStudy/Mysql/lib/plugin/udf.dll « ,
après l' exécution de l'instruction, a constaté que les retours à vide, le fichier d'exportation ne peut pas réussir, ou plug - in répertoire n'existe pas, on voit que , grâce à la gestion de fichiers, répertoire plugin n'existe pas,
nous pouvons essayer flux ADS SNRC pour créer un dossier, mais le taux de réussite est pas élevé. Peut se référer à l'article quelques problèmes de ADS en NTFS (répertoire de construction Mysql, webshell cachés, etc.)
Bonne chance, cd directement au terminal C: \ Program Files \ phpStudy \ Mysql \ lib \ répertoire créé plug - in md, dans des circonstances normales limite sévèrement les autorisations de répertoire.
Ensuite, instruction SQL export udf.dll dans le répertoire du plugin;
(4) Nous exécutons ensuite l'instruction SQL suivante pour créer une fonction shell (cette fonction est un fichier udf.dll que nous avons téléchargé le nom de la fonction par défaut par udf.dll, différent dll a un nom de fonction différente):
Création de la fonction shell Renvoie la soname String « udf.dll »,
la fonction shell pour exécuter une commande de système est utilisé comme suit, où la commande cmd est réglé à exécuter:
SELECT la coque ( « cmd », ' SET « );
// la commande SET interroge les variables d'environnement du système
dans la figure suivante, la mise en œuvre réussie de la commande cmd et obtenir des résultats arrière, droit de sélectionner le format de texte peut être vu des informations de retour plus complète:
(5) Enfin, nous avons créé un nouveau test les utilisateurs et les ajouter au groupe admistrators
donc, fournissent la bonne finition.
Après la fin , nous pouvons fournir le droit de supprimer la déclaration suivante par la fonction de corrélation pour éviter d' être utilisé par d' autres:
shell fonction goutte;
// fonction pour supprimer
la suppression du mysql.func WHERE nom = « shell »;
// fonction de suppression
