图片.png

传送门：

• sql注入那些事儿——如何优雅地进行SQL注入(1)
• sql注入那些事儿——如何优雅地进行SQL注入(2)
• sql注入那些事儿——如何优雅地进行SQL注入(3)
• sql注入之双查询注入
• sql注入那些事儿——如何优雅地进行SQL注入(4)

接着上次的教程，我们这次将sqli-labs的lesson 7。这里用到了一个比较神奇的东西——outfile。因为Sunny对我的服务器做了一些权限限制，而且大家对于注入的流程已经有了一定的了解，所以我们这次试验主要在mysql中完成即可。大家在平时写代码的过程中可能看到过某些语句，比如说：

select [column...] from [table_name] into outfile [path];

这就是我们今天要说的重点，这个语句通常是可以用于导出数据信息的，但是也可以被sql注入利用。具体的做法也很简单，首先我们可以先想办法找出对象服务器的系统是什么，然后找到apache的根目录，后面要做的大家可能也都知道了，就是利用上面这个语句，将一个文件放到根目录中。这个过程是不是看着有点眼熟，不错，这种做法感觉像不像木马。把我们的要执行的php文件放到apache的目录中，然后我们再访问这个php文件，结果不就是相当于让服务器执行了我们想要执行的内容。不得不说，这真是php的动态性的好处，直接热部署文件都可以执行。
下面，Sunny就带大家来感受一下这个过程吧。首先我们登录mysql中：

图片.png

随便选择一个数据库，我这里就选择我们注入的security数据库：

图片.png

然后我们就来实践之前我们说到过的语句，数据我就随便选了，路径我们就选择apache的根目录：

select * from users into outfile '/var/www/html/aa';

结果报错了：

图片.png

因为我们限制了mysql的导入导出的文件权限，只能将文件导入或导出到指定位置。
那么我们就来查看它所说的安全的位置是在哪里，我们可以用下面的语句来进行查询：

show variables like 'secure_file_priv';

图片.png

所以，我们只能将文件导出到那里，或者从那里导入文件了：

select * from users into outfile '/var/lib/mysql-files/aa';

可以看到导出成功了：

图片.png

同样的，我们可以尝试导出一个php文件，比如:

select '<?php phpinfo() ?>' into outfile '/var/lib/mysql-files/test.php';

图片.png

然后，我们再去/var/lib/mysql-files 目录下查看是否真的导出成功了：

图片.png

图片.png

图片.png

总结

outfile这个方法其实在实际注入过程中，要说破坏性确实比较大——实际上对数据的破坏危害性也非常大，如果可以成功，理论上是可以对整台服务器造成危害的；但是这个问题真的非常容易防治，在严格的文件权限管理下，基本上很难成功，比如Sunny这次尝试，只能将文件放到/var/lib/mysql-files目录中，而无法放到apache的目录中，这也就意味着这个php文件无法运行——当然，如果尝试用shell的话或许有办法？
总而言之，言而总之。在sql注入中，如果可能找到注入点的话，极大概率是用盲注完成的。下一篇，Sunny将和大家分享一下盲注的内容，大家将会打开sql注入新世界的大门。

欢迎评论留言交流，有两种方式：

第一种

评论留言

第二种

邮箱联系：zsunny@yeah.net