深入浅出带你玩转sqlilabs(二)

MYSQL高权限注入

mysql跨库注入

详情请看上一篇：深入浅出带你玩转sqlilabs(一)

mysql文件操作注入-sqlilabs less7

可能用到的函数：

into outfile()函数，写文件，用法：select 'mysql is very good' into outfile 'text1.txt'；或者是select 'mysql is very good' into outfile 'path(路径目录之间用双斜杠，防止出现阻止过滤手段\n等)'

　　　MySQL文件位置：MySQL/data

load_file()函数，读取本地文件，用法：select load_file('写文件保存的路径')

if()函数，if(condition,A,B)，如果条件condition为true，则执行语句A，否则执行B

先判断注入点数据类型：

http://localhost/sqlilabs/Less-7/?id=1fdg　　//注入点处开头数字+字符

没有报错，说明是字符型参数

因为是字符型参数，所以id参数先用'使参数报错

然后再想办法填补参数格式（猜，一般是多几个闭合括号）使输出变正常。

http://localhost/sqlilabs/Less-7/?id=1')) --+

'号报错，))号闭合参数，--+号注释后面的语句，使输出正确

然后用order by列查询，查询字段数

http://localhost/sqlilabs/Less-7/?id=1'))  order by 3--+

从字段1查到字段4，终于报错了，退回3，正确了，所以字段数是3

接下来就是衔接命令了，由于前面提示要用到outfile()函数

http://localhost/sqlilabs/Less-7/?id=-1')) union select 1,2,3--+

因为要进行写文件操作，所以就涉及到写文件权限的问题，phpstudy文件读写权限的问题：使用

show variables like '%secure%';

在命令行中查看secure-file-priy当前的值，如果显示NULL，则需要打开phpstudy\PHPTutorial\MySQL\my.ini文件，在其中加上一句：secure_file_priv="/"

然后重启phpstudy，再执行一次注入语句，已经写入了

访问文件，没问题

注意：文件读写注入需要考虑mysql版本问题，高版本存secure_file_priv过滤，mysql之突破secure_file_priv，低版本可以直接写入

突破参考：https://www.cnblogs.com/c1e4r/articles/8902444.html

接下来写入一句话就可以了

注意：路径问题：操作文件写入的时候需要提前得到网站的绝对路径

路径获取方法：

1.报错显示

构造一个不存在的参数值

2.遗留文件

3.漏洞爆路径

4.其他

读取网站解析配置文件

win　　 phpstudy Apache配置文件位置：E:\phpstudy\PHPTutorial\Apache\conf\vhosts.conf

windows2003　　 iis6配置文件所在位置C:\Windows/system32\inetsrv\metabase.xml

win2008/2012　　 iis7.5 在这个文件C:\Windows\System32\inetsrv\config\applicationHost.config

字典fuzz：d e d:/wwwroot/www.xx.com .....

MYSQL过滤型注入

mysql宽字节绕过注入-sqlilabs less32

过滤函数 :addslashes()，返回在预定义字符之前添加反斜杠的字符串。

预定义字符是：

• 单引号（'）

• 双引号（"）

• 反斜杠（\）

• NULL

魔术引号 :php扩展及设置--参数开关设置--magic_quotes_gpc，作用范围是：WEB客户服务端；作用时间：请求开始时

这个特性在PHP5.3.0中已经废弃并且在5.4.0中已经移除了

源码中id参数的接收

输入没有反斜杠，输出有反斜杠，说明有过滤函数对参数进行转义、过滤了。所以我们遇到了这种情况：想对参数的引号进行闭合，但是又遇到了过滤引号的函数，这就用到宽字节注入了。

当数据库编码为gbk编码时（中文编码不知道日文编码韩文编码是不是），可以使用宽字节注入绕过过滤函数和魔术引号。宽字节格式是地址后加一个%df，再加单引号，因为反斜杠的编码为%5c，而gbk编码中，%df%5c是繁体字“運”（或者是希腊字母β），所以这时系统会误认为这时一个汉字，而不包含反斜杠，所以相当于把反斜杠变成一个汉字，引号就注释不了了，然后我们加单引号闭合的时候使用单引号的url编码：%27，这样一来，系统解析就会这样：%df%5c%27，前两个字节解析为汉字，最后一个字节解析为单引号

注入成功了

MYSQL其他注入

在原有的注入参数值多了一层加密，所以在注入的时候要提前解密参数值，进行注入语句的拼接后在进行加密尝试注入测试。

盲注，二次注入等