【SQL注入16】SQL漏洞利用之读写文件

原创 已于 2022-07-01 03:50:12 修改 · 5.5k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #网络安全

于 2022-02-22 15:37:46 首次发布
本文介绍了SQL注入的基础知识,包括用户权限、绝对路径的读写操作,以及`secure-file-priv`参数的作用和配置。通过实验步骤展示了如何利用SQL注入读取数据库文件和写入PHP探针,强调了文件操作受用户权限和数据库配置的限制。实验目的是掌握SQL注入下的文件操作技巧。

目录

1 基础知识与读写条件

1.1 用户权限

  1. 想要完成导入导出操作,需要当前用户具有相应文件权限。
  2. 在成功获取SQL注入点后,使用命令select file_priv from mysql.user where user='root' and host='hostlhost'查询当前用户权限。

1.2 绝对路径

1.2.1 路径类型

需要知道文件的绝对路径。

1.2.2 读取文件

  1. 使用load_file()函数读取文件,需要使用绝对路径。
  2. 不同系统的绝对路径示意:
    1. windows路径:C:\\Windows\\System32\\config\\SAM
    2. Linux路径:C:/Windows/System32/config/SAM
  3. 注入命令例如:?id=1 union select 1,load_file('C:\\Windows\\System32\\config\\SAM'),3

1.2.3 写入文件

  1. 使用select……into_outfile'路径'导出数据到pc的指定目录下。
  2. 注入命令例如:?id=1 union select 1,'<?php phpinfo();?>',3 into_outfile 'C:\\phpStudy\\PHPTutorial\\WWW\\test.php'如果网页没有报错,则说明写入成功,可以访问实验。

1.3 secure-file-priv参数

利用SQL注入漏洞进行文件读写,需要后台数据库开启一定的设置。

1.3.1 作用

  1. secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
  2. secure_file_priv设置值及含义
含义
null表示限制mysqld 不允许导入或导出
/tmp/表示限制mysqld 的导入或导出只能发生在/tmp/目录下
没有具体值表示不对mysqld 的导入或导出做限制

1.3.2 查看方式

1.3.2.1 远程查看方式

该参数可以在数据库控制面板的变量中查看更改。在浏览器中访问数据库后台管理页面,点击变量,输入sec并回车,就可以搜索出secure-file-priv参数,我们看到这里参数的值是null,也就是说不允许导入导出。
在这里插入图片描述

1.3.2.2 本地查看方式
  1. 在安装有数据库的系统上,运行cmd,先cd到安装mysql的文件夹中cd C:\phpStudy\PHPTutorial\MySQL\bin,再使用命令mysql -u root -p回车后再输入密码root,这里用的是phpstudy默认的账号密码登录。
    在这里插入图片描述
  2. 输入命令:show global variables like '%secure%',可以看到secure-file-priv参数的值是null,也就是说不允许导入导出。
    在这里插入图片描述

1.3.3 更改方式

  1. 该参数无法通过远程方式进行更改,只能本地修改文件配置。
  2. 找到mysql的安装文件夹,找到里面的my.ini配置文件,以记事本或VS code等方式打开编辑。
    在这里插入图片描述
  3. 在[mysqld]内加入secure_file_priv =,保存文件退出,并重启phpstudy。
    在这里插入图片描述
  4. 再次查看,可以看到secure-file-priv参数为空,表示允许导入导出操作。
    在这里插入图片描述

2 实验简介

2.1 实验目的

  1. 完成SQL注入;
  2. 利用SQL注入漏洞完成文件复制。

2.2 实验环境

  1. 实验靶场——虚拟机:本节实验靶场是在win2008系统上基于phpstudy搭建的一个简单网站,win2008及phpstudy的安装过程可以参考《win2008R2SP1+WAMP环境部署》,网站的搭建过程可以参考《综合实验:一个简单丑陋的论坛网站
  2. 注入工具——真实机:本实验利用火狐浏览器来实现union注入,为方便注入过程的编码,建议安装一个扩展插件harkbar,安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用,就安装了HackBar Quantum来代替。安装后出现下图左侧的东西。
    在这里插入图片描述

3 实验步骤

3.1 判断注入点与注入类型

在该阶段主要是尝试不同的输入参数,根据网页反馈信息来判断是否存在注入点以及注入类型,如是否是字符型还是数值型,是否存在延迟注入等。

  1. 用浏览器访问我们的留言论坛,并点击第一条留言进入测试界面。
    在这里插入图片描述

  2. 将参数修改为?id=2,并点击run,看到页面变化如下,弹出第二条留言内容,由此可见后台是根据id的不同来反馈不同信息,而id是访问者可控的,是一个注入点。
    在这里插入图片描述

  3. 修改参数为?id=1 and 1=1,返回页面与原页面一致 。通过该参数我们可以分析得到该注入数据类型为数值型,原因如下:
    (1) 猜测为数值型,则后台SQL语句为 select * from table where id=1 and 1=1,where语句判断条件为真且id=1,语句正常执行。
    (2) 猜测为字符型,则后台SQL语句为 select * from table where id=‘1 and 1=1’,where语句将找不到id为‘1 and 1=1’的参数,语句执行失败。
    (3) 更多数值型和字符型的判断方法请查看文章《反证法:判断注入类型是数值型还是字符型
    在这里插入图片描述

  4. 修改参数为 ?id=1 union select 1,2,3,4 ,说明原参数回显数据有4列,也可以根据传统方法先用order进行尝试。
    在这里插入图片描述

  5. 修改参数为?id=-1 union select 1,2,3,4,回显结果如下,说明有第2、3、4显示位,可以利用为union联合查询注入。
    在这里插入图片描述

  6. 结论:

    1. 因为id参数是用户可控的,会随请求带入到数据库中执行并回显相应内容,是一个注入点。
    2. 根据第3步说明参数为数值型。
    3. 利用union联合查询有4列数据,其中第2、3、4位能回显。

3.2 获取数据库路径

参改参数为?id=-1 union select 1,2,3,@@datadir,通过该命令获取后台数据库的绝对路径,如下:
在这里插入图片描述

3.3 读取数据库文件配置

修改参数为?id=-1 union select 1,2,3,load_file('C:\\phpStudy\\PHPTutorial\\MySQL\\my.ini')获取数据库配置文件,并回显到网页上。问题关键转变为如何获取想要文件的路径。
在这里插入图片描述

3.4 写入PHP探针文件

  1. 假设我们通过某些方式知道了网站的根目录路径为C:\phpStudy\PHPTutorial\WWW。以后得学学怎么获取到根目录路径。
  2. 修改参数注入参数为 ?id=-1 union select 1,2,3,'<?php phpinfo();?>' into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\test.php",出现页面如下,虽然出现警告,但是我们文件已经成功写入了。
    在这里插入图片描述
  3. 在浏览器访问目标IP下的文件test.php,成功执行该文件并返回PHP探针信息。
    在这里插入图片描述

4 总结

  1. 对文件进行读写既收到文件系统对用户权限的制约、也收到数据库设置的制约。
  2. 掌握利用SQL漏洞进行文件读写的方法。
  3. 后续需要进一步了解如何获取网站根目录路径的方法。
详述 MySQL 导出数据遇到 secure-file-priv 的问题
CG国斌的博客
10-01 3万+
ERROR 1290 (HY000): The MySQL server is running with the –secure-file-priv option so it cannot execute this statement. 对于上述错误,相信对于第一次执行 MySQL 数据导出操作的同学大都会遇见。至于为什么会遇到这个错误,原因很简单,那就是:我们不知道 MySQL 默认的导出目录是哪
SQL注入读写文件
m0_56578216的博客
08-24 2080
SQL注入有直接SQL注入,也有文件读写时的注入,后者的主要目的在于获取webshell或盗取重要文件。web 应用在服务器上的绝对路径,一般情况下是不知道的。但是系统敏感文件的路径是固定的。secure_file_priv=null,不允许导入导出操作。secure_file_priv=目录名,只允许此目录及子目录下导入导出操作。secure_file_priv= ,不对导入导出操作做限制。
【phpMyadmin】MYSQL突破secure_file_priv写shell提权
失心少年
09-19 1582
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。
利用数据库提权参考方法
bobo_milk的博客
11-26 1599
数据库提权方法
SQL注入漏洞
::: 移动互联网时代开发者 :::
02-25 1459
头几天把优快云上的ASP.NET电子杂志下载下来看,就看到了SQL注入方面的文章。对于ASP.NET编程,安全性是一个非常重要的问题。SQL注入是最近一段时间公布的漏洞攻击方法。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存
sql注入文件写入
一只菜鸟的博客
10-31 1972
sql注入中写入webshell的几种方式 secure_file_priv="c:/…"被注释掉或者是web路径 php.ini中的get_magic_quotes_gpc()函数未开启 其中secure_file_priv有三种情况 在进行写入websell时,要注意参数secure_file_priv是否有指定路径或者是否为null。最好要获得root权限 空,表示导入导出没有任何限制 有指定路径,比如("c:/xxx/xxx"):只能向指定路径导入导出文件 nul
利用SQL注入漏洞实现MySQL数据库读写文件
weixin_44257023的博客
07-18 744
利用SQL注入漏洞实习读写文件
关于SQL注入文件读写的方法总结
09-09
在这一过程中,攻击者不仅能够数据库中的数据,还能利用注入漏洞读写服务器上的文件。这一知识点对于数据库安全和网络安全工作者来说至关重要。 首先,文章提到了MySQL数据库中的文件读写方法。在MySQL中,可以...
WEB攻防-通用漏洞-SQL 读写注入-MYSQL&MSSQL&PostgreSQL
weixin_45534587的博客
07-23 904
高权限注入指的是攻击者通过SQL注入漏洞利用具有高级权限的数据库账户(如MYSQL的root用户、MSSQL的sa用户、PostgreSQL的dba用户)执行恶意SQL语句。这些高级权限账户能够访问和修改数据库中的所有数据,甚至执行操作系统级别的命令。
Sql注入漏洞汇总-上
黑战士的博客
06-04 972
DNSlog注入,也叫DNS带外查询,它是属于带外通信的一种(Out of Band,简称OOB)。寻常的注入基本都是在同一个信道上面的,比如正常的get注入,先在url上插入payload做HTTP请求,然后得到HTTP返回包,没有涉及其他信道。而所谓的带外通信,至少涉及两个信道信道:在计算机中指通信的通道,是信号传输的媒介。
利用SQL注入漏洞读写文件,进而提权,远程登陆
W小哥
12-27 1975
一、前提条件 第一步:修改数据库配置文件,允许文件读写 可以通过在my.ini中添加secure_file_priv这一项来许可文件读写。 测试: 二、利用sql注入漏洞读写文件 第一步:打开目标网站 第二步:通过and 1=1、and 1=2 查看是否存在SQL注入漏洞 1=1是永真表达式 而SELECT * FROM news WHERE id = 1 and 1=1只有两个语句SE...
SQL注入-文件读写
最新发布
m0_73902453的博客
07-25 2083
就是利用文件读写权限进行注入,它可以写入一句话木马,也可以取系统文件的敏感信息。
一个网站SQL注入的案例
weixin_34281537的博客
06-29 439
网站的页面提交参数做了md5转换,而且参数会带入两个SQL语句中执行。 注入是肯定存在的,但是SQLMAP怎么都跑不出来(可能原因是其中有个SQL语句总是报错)。 尝试手工,发现 order by 报错。; ) 没关系,那就直接上union select。 经过尝试发现 union select 1,2,3,4,5,6,7,8,9,10 成功爆出显示位。下面写个脚本跑表,收工。 # -...
SQL注入-文件读写文件取+写入:函数、使用方法
热门推荐
05-30 1万+
SQL注入文件读写
sql注入 - 读写文件
wcy19990628的博客
02-10 419
文件: http://localhost/sqli-labs-master/Less-2/?id=-1 union select 1,2,load_file("D:\\phpStudy\\PHPTutorial\\Apache\\conf\\httpd.conf")-- - 在显示位上显示apachectl的配置文件的信息 这就是load_file()函数的用法 2.写文件 http...
SQL注入写入文件方法(获取webshell)
Goodric的博客
04-08 3532
1、当前数据库用户为 root 权限 2、知道当前网站的绝对路径 3、secure_file_priv 的参数必须为空或目录地址 4、PHP的 GPC 为 off状态;(魔术引号,GET,POST,Cookie)
ERROR 1290 (HY000): --secure-file-priv option
weixin_34186950的博客
11-12 180
select concat('KILL ',id,';') from information_schema.processlist where user='root' into outfile '/tmp/test.txt'; ERROR 1290 (HY000): The MySQL server is running with the --secur...
5-sql注入文件读写
m0_62978778的博客
01-05 1049
高版本的MYSQL添加了一个新的特性secure_file_priv,该选项限制了mysql导出文件的权限。一般可以与union中做为一个字段使用,查看config.php(即mysql的密码),apache配置…就是利用文件读写权限进行注入,它可以写入一句话木马,也可以取系统文件的敏感信息。outfile 后面不能接0x开头或者char转换以后的路径,只能是单引号路径。后面的路径可以是单引号,0x,char转换的字符。报错显示,遗留文件漏洞报错,平台配置文件等。代表只能对该路径下文件进行读写
MSSQL手工注入实战:SQL注入漏洞探索
"SQL注入之MSSQL注入MSSQL手工注入" 本文主要探讨了SQL注入攻击中的MSSQL注入,特别是在Windows Server 2008 R2环境下使用IIS搭建的MSSQL-SQLi-Labs第一关的实战演练。作者以学习笔记的形式,详细介绍了如何识别和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值