type
status
date
slug
summary
tags
category
icon
password
Catagory
Materials
Retired
Retired
Due date
Jan 16, 2024 05:30 AM
Status
Belong in

Background

UDF

UDF(User Defined Function),使用者可以自訂函數並讓mysql透過載入的方式來呼叫函數。

利用條件

  • mysql允許導入導出檔案 ⇒ 找current_user() file_priv
  • 高權限帳號需要有對資料庫table有insert和delete權限,為了要將payload先匯進table中
  • --skip-grand-tables 開啟的狀況下udf並不會被import
  • mysql 5.1以上的版本,必須要把udf.dll或udf.so文件放在mysql plugin目錄下面才有辦法import函數並呼叫他 ⇒ 要找plugin路徑

Progress

判斷columns

notion image

枚舉資料庫版本及當前連線的資料庫名稱

notion image

枚舉當前使用者

notion image
notion image
notion image
 

枚舉os version及 architecture

notion image

枚舉data directory path

notion image

枚舉plugin directory path

notion image

確認當前使用者權限

File_Priv

确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令
notion image

Plugin

plugin值表示mysql用户的认证方式。当 plugin 的值为空时不可提权,为 mysql_native_password 时可通过账户连接提权。默认为mysql_native_password。另外,mysql用户还需对此plugin目录具有写权限。
notion image

secure_file_priv

secure_file_priv是用来限制load dumpfile、into outfile、load_file() 函数在哪个目录下拥有上传或者读取文件的权限。
当 secure_file_priv 的值为 null ,表示限制 mysqld 不允许导入|导出,此时无法提权 当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权 当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权
notion image
Mysql—用户表详解(mysql.user) - 刘_love_田 - 博客园
MySQL是一个多用户管理的数据库,可以为不同用户分配不同的权限,分为root用户和普通用户,root用户为超级管理员,拥有所有权限,而普通用户拥有指定的权限。 MySQL是通过权限表来控制用户对数据库访问的,权限表存放在mysql数据库中,主要的权限表有以下几个:user,db,host,tabl
Mysql—用户表详解(mysql.user) - 刘_love_田 - 博客园
https://www.cnblogs.com/liuhaidon/p/11511129.html
MYSQL突破secure_file_priv写shell_secure_file_priv默认值-CSDN博客
文章浏览阅读1k次。目标IP地址:192.168.106.130本地IP地址:192.168.106.1访问目标网络如下图所示:实验场景:某些情况下,当我们进入网站phpmyadmin或者网站后台执行SQL命令,计划通过select into outfile写一句话木马(shell),但是通常都会报错,如下图所示:原因:在mysql 中 secure_file_priv的值默认为NULL。并且无法用s..._secure_file_priv默认值
MYSQL突破secure_file_priv写shell_secure_file_priv默认值-CSDN博客
https://blog.csdn.net/weixin_40412037/article/details/104425605

Load_file()

測試導出檔案

UDF injection

解密udf_sys.so

notion image

Exploit

notion image
notion image
notion image

Reference

MySQL UDF Exploitation | 🔐Blog of Osanda
Overview In the real world, while I was pentesting a financial institute I came across a scenario where they had an internal intranet and it was using MySQL 5.7 64-bit as the backend database techn…
MySQL UDF Exploitation | 🔐Blog of Osanda
https://osandamalith.com/2018/02/11/mysql-udf-exploitation/
MySQL UDF Exploitation | 🔐Blog of Osanda
sqlmap udf提权过程-CSDN博客
文章浏览阅读2.5k次。常见的未授权访问漏洞:Redis 未授权访问漏洞MongoDB 未授权访问漏洞Jenkins 未授权访问漏洞Memcached 未授权访问漏洞JBOSS 未授权访问漏洞VNC 未授权访问漏洞Docker 未授权访问漏洞ZooKeeper 未授权访问漏洞Rsync 未授权访问漏洞Atlassian Crowd 未授权访问漏洞CouchDB 未授权访问漏洞Elasticsearch 未授权访问漏洞Hadoop 未授权访问漏洞Jupyter Notebook 未授权访问漏洞Red_sqlmap udf提权
sqlmap udf提权过程-CSDN博客
https://blog.csdn.net/qq_42636435/article/details/106852716
https://github.com/SEC-GO/Red-vs-Blue/blob/master/linux环境下的MySQL UDF提权.md
Exporting data from a MySQL database using SELECT…INTO OUTFILE - Simple Talk
In the previous article in this series, I introduced you to the MySQL LOAD DATA statement, which lets you retrieve data from a plain text file and insert
Exporting data from a MySQL database using SELECT…INTO OUTFILE - Simple Talk
https://www.red-gate.com/simple-talk/homepage/exporting-data-from-a-mysql-database-using-selectinto-outfile/
Exporting data from a MySQL database using SELECT…INTO OUTFILE - Simple Talk
 
TryHackMe - Kenobi Tools - Burp Suite