关于Mysql中select into outfile权限的探讨

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/bnxf00000/article/details/64123549

      在渗透测试的过程中，如果网站数据库为Mysql，在sql注入的过程中如果爆出了网站的绝对路径，常规思路会去查看一下Mysql中用户权限是否有读写权限。sqlmap就是按照这样的思路写入shell的，不过在不知道网站绝对路径的情况下，sqlmap会对一些常规的路径进行写入尝试。在这里，我主要记录一下为什么有时候shell写不进去路径。

      在我的经验里，有时候在linux渗透测试的后，即使mysql数据库用户是root权限（肯定会有读写权限），在对特定目录进行写入shell的时候还是会出问题。在这里实验一下，到底是啥原因。

      首先，在系统环境为ubuntu16.04.2+mysql 5.7.17中尝试一下。直接用的mysql中的root用户来进行测试。尝试写入0x3c3f70687020706870696e666f28293b203f3e，出现如下错误：

      这是由于启动mysql的时候使用了--secure-file-priv这个参数，这个参数的主要目的就是限制LOAD DATA INFILE或者SELECT INTO OUTFILE之类文件的目录位置。可以使用SELECT @@global.secure_file_priv;查看当前设置的路径，默认为/var/lib/mysql-files。如下图所示：

      现在，把这个选项关掉继续测试outfile写入文件权限的问题。在/etc/mysql/my.cnf中如下配置，然后重新启动mysql服务即可。

[mysqld]

secure-file-priv = ""

      查看一下：

      好了，继续。写入tmp目录下成功了。

      可以写入成功，这是因为tmp目录任何用户都有权限进行读写。查看一下写入的文件的权限，是数据库的权限。

      以当前用户创建一个目录，如下所示：

      尝试写入文件到该目录下：

      写入失败。尝试把目录所有者改为mysql再试一下。

      还是失败。给test目录777权限再试一下：

      依然失败。原因是ubuntu中的apparmor在作怪。这个类似于selinux。可以关掉再试一下，记住关掉apparmor不是service apparmor stop；（执行stop还是写不进去的）而是service apparmor teardown。

      发现在test目录设置为777权限的时候可以写入成功了，如果设置为当前用户muggle权限，还是写入失败了，把目录改为mysql权限又可以写入成功了。

      接下来在CentOS7+MariaDB测试一下，MariaDB版本如下：

      尝试写入/tmp目录：

      写入成功。但是你到tmp目录下找不到写入的文件。这个的原因是mariadb systemd service中的设置造成的。

      其实，在tmp目录下，之前写入的文件存到了下面这个目录下面：

      如果想要让写入的文件直接存到/tmp目录下，需要把mariadb.service中PrivateTmp设置为false，然后执行systemctl daemon-reload命令，再重启一下mariadb即可。如下再次写入/tmp目录，即可让写入的文件直接在tmp目录下面。

      然后按照与ubuntu下测试的类似，在Documents下创建test目录，test目录权限为当前用户权限时，写入失败，test目录为mysql权限，写入失败。test目录权限设置为777，写入同样失败。

      我们来看一下CentOS中selinux的状态：

      发现selinux是开启的，把selinux关闭试一下是否能够写入成功。发现采用命令sudo setenforce 0临时关闭selinux，然后写入也是失败的。那直接永久关闭试一下。 修改/etc/selinux/config。把SELINUX=enforcing，设置为SELINUX=disabled即可。然后重启系统。

      selinux已经关闭了。然后继续尝试写入，在test目录权限为当前用户，mysql权限及目录为777权限的时候，都是写入失败。好吧，这个地方有点诡异。按理说关闭selinux之后，只要目录权限为777或者mysql权限，都是可以写入成功的。

     把每一级目录都加上可执行权限，试一下是否可以写入成功。

    

 

     可以看到，还是写入失败。那现在把panda和test目录的所有者改为mysql试试看。能不能写入成功：

     发现可以写入成功的。那现在把panda和test目录都改为777，是不是也可以写入成功呢？发现也是可以写入成功的。也就是说，在CentOS 7下面，想要在test目录下写入成功，需要每一级目录的所有者都为mysql或者每一级目录都是777权限。然而，某次尝试把selinux关闭后，重启之后，发现只要写入目录为mysql权限或者777权限都是可以写入成功的。略诡异。。。

     有一种讨巧的办法，在写入的时候不指定绝对路径，这样文件写入/etc/my.cnf中设置的datadir目录。默认目录为/var/lib/mysql/下面。然后mv写入的文件到指定目录下即可。