MySQL写shell的问题
-
- 写shell用什么函数?
- `select '<?php phpinfo()> into outfile 'D:/shelltest.php'`
- `dumpfile`
- `file_put_contents`
- outfile不能用了怎么办? `select unhex('udf.dll hex code') into dumpfile 'c:/mysql/mysql server 5.1/lib/plugin/xxoo.dll';`可以UDF提权https://www.cnblogs.com/milantgh/p/5444398.html
- dumpfile和outfile有什么不一样?outfile适合导库,在行末尾会写入新行并转义, 因此不能写入二进制可执行文件。
- sleep()能不能写shell?
- 写shell的条件?
- 用户权限
- 目录读写权限
- 防止命令执行:`disable_functions`,禁止了
- 写shell用什么函数?
`disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_ope n,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source`,但是可 以用dl扩展执行命令或者ImageMagick漏洞https://www.waitalone.cn/imagemagic-bypass-disable_function.html
open_basedir: 将用户可操作的文件限制在某目录下
mysql写shell的条件
1、网站可访问路径的绝对路径
2、secure_file_priv 的值非NULL或包含了导出的绝对路径
secure_file_priv的值在mysql配置文件my.ini中设置,这个参数用来限制数据导入导出Mysql>=5.5.53 默认为NULL,即默认禁止导入导出
Mysql<5.5.53 默认为空,即默认无限制
3、mysql服务有对网站可访问路径的写权限
4、mysql连接用户有FILE权限/ROOT用户或ROOT权限
5、GPC关闭//未对闭合用的引号转义
outfile 和 dumpfile的路径不支持hex,必须有引号包裹
## mysql日志写shell
与导出函数写Shell相比,规避了 secure_file_priv 的限制
- 网站可访问路径的绝对路径
- mysql服务有对网站可访问路径的写权限
- mysql连接用户有权限开启日志记录和更换日志路径/ROOT权限
- GPC关闭/未对闭合用的引号转义
虽然日志路径可以hex编码,但被记入日志的查询语句中的shell内容需要引号包裹,加
`\`后传到数据库执行会报错,无法记录进日志
root权限
GPC 关闭(能使用单引号),magic_quotes_gpc=On 有绝对路径(读文件可以不用,写文件必须)
没有配置–secure-file-priv
成功条件:有读写的权限,有 create、insert、select 的权限