Mysql 任意读取客户端文件

前言：Mysql 任意读取客户端文件笔记

参考文章：https://www.lorexxar.cn/2020/01/14/css-mysql-chain/

load data infile

load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

实现：Mysql Server会读取服务端的/etc/passwd，然后将其数据按照'\n'分割插入表中，但现在这个语句同样要求你有FILE权限，以及非local加载的语句也受到secure_file_priv的限制

流程的话是：客户端读取服务端本地中的文件到服务端的Mysql中

缺点：要求你有FILE权限，受到secure_file_priv的限制

 mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';
 
ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

load data local infile

相同环境下，如果使用load data local infile，则可以进行成功读取！

流程的话是：客户端读取客户端本地中的文件到服务端中的Mysql中，但是与上面有个最大的不同点是读取方读取的文件是相反的

 mysql> load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';
 
Query OK, 11 rows affected, 11 warnings (0.01 sec)
 
Records: 11  Deleted: 0  Skipped: 0  Warnings: 11

可能觉的是挺鸡肋的，但是如果配合相应的环境下还是可以进行利用的

这时候利用上面这一点，现在我们的情况就是服务端可以任意读取客户端中的文件

Adminer的利用

受害者：192.168.1.157 ，该机器上面存在adminer数据库工具

攻击者：192.168.1.143

1、攻击者打开受害者的web界面如下，发现可以进行外连操作

2、然后攻击者进行adminer连接到自己的mysql服务器上

3、攻击者执行LOAD DATA LOCAL INFILE 'C:\\programdata\\1.txt' INTO TABLE table;

4、攻击者打开自己的mysql服务器查看，读取成功！

参考文章：https://xz.aliyun.com/t/6408

Discuz x3.4的利用

在Discuz x3.4的配置中存在这样两个文件

 config/config_ucenter.php
 
config/config_global.php

1、在dz的后台，有一个Ucenter的设置功能，这个功能中提供了ucenter的数据库服务器配置功能，通过配置数据库链接恶意服务器，可以实现任意文件读取获取配置信息。

2、配置ucenter的访问地址

 原地址： http://localhost:8086/upload/uc_server
 
修改为： http://localhost:8086/upload/uc_server\');phpinfo();//

当我们获得了authkey之后，我们可以通过admin的uid以及盐来计算admin的cookie。然后用admin的cookie以及UC_KEY来访问即可生效！

LOAD DATA LOCAL INFILE的权限要求

最后自己还想下看下关于LOAD DATA LOCAL INFILE是否也收到数据库权限或者是用户权限的限制

那么就有四种情况

1、高数据库权限高PHP权限 ----> 读取成功

2、高数据库权限低PHP权限 ----> 读取失败

3、低数据库权限高PHP权限 ----> 读取成功

4、低数据库权限低PHP权限 ----> 读取失败

总结：

LOAD DATA LOCAL INFILE 继承的是执行客户端用户权限且只能读 mysql客户端本地文件

若 webshell 中如果能读取 user.MYD 文件，LOAD DATA LOCAL INFILE 就能读该文件

若 webshell 中如果不能读取 user.MYD 文件，LOAD DATA LOCAL INFILE 就不能读该文件

参考文章：https://www.t00ls.net/articles-26813.html

posted @ 2020-02-29 19:58 zpchcbd 阅读(1365) 评论(2) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)

Mysql 任意读取客户端文件

load data infile

load data local infile

Adminer的利用

Discuz x3.4的利用

LOAD DATA LOCAL INFILE的权限要求

我的标签

随笔档案

博客友链

	mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

	ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

	mysql> load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

	Query OK, 11 rows affected, 11 warnings (0.01 sec)

	Records: 11 Deleted: 0 Skipped: 0 Warnings: 11

	原地址： http://localhost:8086/upload/uc_server

	修改为： http://localhost:8086/upload/uc_server\');phpinfo();//

记录部分个人学习和部分实战的笔记 我会慢慢补全部分空白的文章 :)

Mysql 任意读取客户端文件

load data infile

load data local infile

Adminer的利用

Discuz x3.4的利用

LOAD DATA LOCAL INFILE的权限要求

我的标签

随笔档案

博客友链

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)