提权-mysqlUDF

目录

• mysqlUDF提权
  • 条件
    • mysql版本和目录权限
    • mysql insert和delete权限=>root账户密码
    • mysql secure_file_priv不为null或包含了udf.dll的写入路径
    • PHP版本[如通过sql语句纯手动提权可忽略]
  • 纯手动
  • php脚本手动
  • jar脚本自动

mysqlUDF提权

条件

mysql版本和目录权限

1. mysql>5.1
   udf.dll文件必须放置在mysql安装目录的libplugin文件夹下
   该目录默认是不存在的，需要使用webshell找到mysql的安装目录，并在安装目录下创建libplugin文件夹，然后将udf.dll文件导出到该目录。
   mysql安装目录可通过执行select @@datadir;或show variables Like '%datadir%';得到
2. mysql<5.1
   win2003，udf.dll文件放置于c:windowssystem32
   win2000，udf.dll文件放置于c:winntsystem32

mysql insert和delete权限=>root账户密码

1. user.MYD
   MySQL/data/mysql中找到user.MYD打开
   里面有被分割的root密码hash
   
   拼接后查md5，得到root密码
   
2. 网站配置文件
3. 读mysql-user表中存储的root密码hash

mysql secure_file_priv不为null或包含了udf.dll的写入路径

mysql/my.ini

PHP版本[如通过sql语句纯手动提权可忽略]

PHP<6.0

纯手动

https://www.jianshu.com/p/5b34c1b6dee7

php脚本手动

此处通过php脚本辅助执行

1. 连接
   
   

2. 导出udf
   

3. 创建cmdshell
   

4. 执行命令
   

select cmdshell('命令');
注意：不要随便删除刚创建的函数 重新生效要mysql重启

jar脚本自动

1. 开数据库外连
2. jar
   java -jar udf.jar IP root 密码