前言
很久不玩提权了,练练手。
原理
udf = ‘user defined function‘,即‘用户自定义函数’。
文件后缀为‘.dll’,常用c语言编写。
通过在udf
文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system权限。
思路
将udf文件上传到指定位置
sqlmap
中有现成的udf
文件,分为32位和64位,一定要选择对版本,否则会显示:Can‘t open shared library ‘udf.dll‘。
sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll。
sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll。
但是 sqlmap
中 自带 的shell 以及一些二进制文件,为了防止被误杀都经过异或方式编码,不能直接使用的。
可以利用 sqlmap
自带的解码工具cloak.py,进入到 sqlmap\extra\cloak\cloak 目录下,执行命令:
|
|
sqlmap中的udf文件提供的函数:
sys_eval,执行任意命令,并将输出返回。
sys_exec,执行任意命令,并将退出码返回。
sys_get,获取一个环境变量。
sys_set,创建或修改一个环境变量。
有了udf文件,接下来就是利用各种办法上传到网站指定目录下
MySQL<5.0,导出路径随意;
5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)
MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。
一般Lib、Plugin文件夹需要手工建立(可用NTFS ADS流模式突破进而创建文件夹)
|
|
从udf文件中引入自定义函数
|
|
执行自定义函数
select cmdshell('net user icekam icekam.com /add');
//将icekam加入管理员组
select cmdshell('net localgroup administrators icekam /add');
清除痕迹
|
|
总结
其实在后渗透阶段,提权往往是重中之重,以前往往是点到为止,有点儿忽视提权方面,多多练习。