网络安全攻防 |
您所在的位置:网站首页 › webshell上传 › 网络安全攻防 |
文章目录
1、文件加载与导入
load_file ()读取服务器中的文件
into outfile()向服务器导入本地文件
2、一句话木马(小马)+大马+webshell
2.1 一句话木马
2.2 大马
2.3 webshell软件
2.4 附:常见命令
3、文件上传漏洞
4、文件包含漏洞
5、文件下载漏洞
6、CSRF漏洞
7、总结:
此文章仅仅用于学习,请学习国家网络安全法,严禁将文章内容应用于破坏网络环境。 1、文件加载与导入数据库中需要开启权限,在my.ini文件的mysqld中添加语句:secure_file_priv= 表示可以导入导出到任何位置。在数据中查看权限SHOW GLOBAL VARIABLES LIKE '%secure%'; 键secure_file_priv 为空说明正确。 load_file ()读取服务器中的文件select hex(load_file(‘文件路径’)), hex是取出的字符串转换成16进制,取出后再转换成字符串。文件路径也需要转换成16进制,前加0x ,如果是windows的路径需要用两个右反斜杠。 # 加载文件显示 ?id=1' and 1=2 union select 1,hex(load_file('/var/www/html/1.txt')),3 %23 into outfile()向服务器导入本地文件select 1 into outfile ‘路径’ ; 注入: 1' and 1=2 union select 2,databases(),2 into outfile 'C:/11.txt' %23可以将一句话木马传入到服务器中: 注意需要添加对应栏,木马根据闭合方式用双引号或者单引号,当闭合为单引号时,需要用双引号。 ?id=3' and 1=2 union select 1,"",1 into outfile '/var/11.txt' %23文件加载和导入,需要知道文件的绝对路径,使用报错和phpinfo可以爆出路径。如果加的是相对路径,默认的是mysql的路径,并不是项目页面所在的路径 2、一句话木马(小马)+大马+webshell 2.1 一句话木马一句话木马: |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |