一、概述
MySQL用户定义函数(User Defined Function,UDF)是用户自己编写的函数,可以在MySQL中被调用,从而实现增强MySQL的功能。其中,UDF提权攻击利用了MySQL UDF的这一特性,通过提升UDF执行权限,在没有特权的情况下执行shell命令从而达到提升系统权限的目的。
二、攻击方法
UDF提权攻击通常可以分为以下几个步骤:
1、创建UDF
use mysql;
create table udf(uid int(10));
delimiter $$
CREATE FUNCTION do_system RETURNS INTEGER SONAME 'udf.so';
$$
上述代码中,创建了mysql数据库,并创建了一个名为udf的表,接着定义了一个名为do_system的函数。其中,SONAME指令用于告诉MySQL函数库在哪里能找到函数。在本例中,udf.so就是指代这个库文件的名字。
2、修改UDF权限
insert into udf values(0x7fffffff);
select * from udf;
上述代码中,将udf表中的uid字段值改为INT_MAX(0x7fffffff),就可以使函数do_system的权限提升到管理员权限级别。具体原理是MySQL调用soname时,会根据表中uid值和当前用户的权限来决定是否执行该函数,而INT_MAX比普通用户的权限还高,因此如果执行成功,则相当于以管理员权限执行命令。
3、执行提权命令
select do_system('whoami');
select do_system('id');
上述代码中,可以使用do_system函数调用shell命令,例如执行whoami和id命令,获得当前用户的信息和系统权限信息。
三、防御方法
为防止UDF提权攻击,有以下几个建议:
1、限制MySQL用户的权限
推荐将MySQL用户的权限限制在最小权限范围内,避免攻击者利用权限提升漏洞利用。如果使用的是MySQL5.7及以上版本,可以使用roles和更严格的权限控制。同时建议使用白名单机制限制可执行UDF的路径。
mysql> CREATE ROLE webuser;
mysql> GRANT SELECT ON db1.* TO webuser;
mysql> GRANT webuser TO 'user'@'localhost';
mysql> INSTALL PLUGIN audit_log SONAME 'audit_log.so';
mysql> CREATE USER foo;
mysql> GRANT SELECT ON db1.* TO foo;
mysql> ALTER USER foo SET DEFAULT_ROLE webuser;
mysql> SHOW GRANTS FOR foo;
+----------------------------------------------------+
| Grants for foo@% |
+----------------------------------------------------+
| GRANT USAGE ON *.* TO 'foo'@'%' |
| GRANT SELECT ON `db1`.* TO 'foo'@'%' |
| GRANT `webuser`@`localhost` TO 'foo'@'%' |
+----------------------------------------------------+
2、禁止使用MYSQL UDF
可以通过禁用mysql.udf表、禁用UDF功能和禁用LOAD_LIBRARY机制来禁止使用MySQL UDF。通过如下配置文件实现:
[mysqld]
skip-name-resolve
disable-udf-functions
skip-symbolic-links
3、更新MySQL版本
及时更新MySQL版本,更新到稳定的版本,并开启MySQL日志机制,定期进行日志分析,以及对数据库进行安全审计,保持MySQL系统的安全防护。
四、总结
MySQL UDF提权攻击依赖于MySQL UDF的功能,攻击者可以利用该漏洞以root管理员权限在服务器中执行任意命令。为避免该漏洞造成的影响,我们可以采取一些防御手段,包括限制MySQL用户的权限、禁止使用MySQL UDF和尽量及时更新MySQL版本等方法。
