三大数据库如何写入WebShell？

2020-08-11 15:02

WebShell作为黑客常用来提权的工具，通常出现在存在任意文件上传漏洞的网站中，但如果遇到一个没有任何的上传点的网站，想通过文件上传漏洞获得权限显然就行不通了，但所谓“山穷水尽疑无路，柳暗花明又一村”，此时一个SQL注入点摆在你眼前，你能否珍惜这来之不易的机会，拿到WebShell呢？

本期美创安全实验室将带大家了解，如何通过三大数据库（MySQL、SqlServer、Oracle）获取网站的WebShell。

MySQL写入WebShell

01必备条件

想要成功向MySQL写入WebShell需要至少满足以下4个条件：

① 数据库的当前用户为ROOT或拥有FILE权限；

② 知道网站目录的绝对路径；

③ PHP的GPC参数为off状态；

④ MySQL中的secure＿file＿priv参数不能为NULL状态。

注意：关于其中第4点，secure＿file＿priv参数是MySQL用来限制数据导入和导出操作的效果，如果这个参数被设为了一个目录名，那么MySQL会允许仅在这个目录中可以执行文件的导入和导出，例如LOAD DATA、SELECT。。。INTOOUTFILE、LOAD＿FILE（）等。如果这个参数为NULL，MySQL会禁止导入导出操作，但是这只是意味着通过outfile方法写入WebShell是无法成功的，但是通过导出日志的方法是可以的。

02写入方法

向MySQL写入WebShell的方式一共有两种，分别是：1、使用outfile方法，2、基于log日志写入法。

Outfile方法其实是MySQL提供的一个用来写入文件的函数，当我们可以控制写入的文件内容以及文件的保存路径时，我们就可以达到传入WebShell的目的。当我们可以使用union查询时，我们构造一个如下语句，就可以达到效果：

Union select “这里是WebShell” into outfile “Web目录”；

当我们无法使用union时，还有一些其他方法也可以实现（利用分隔符写入）：

？id＝1 INTO OUTFILE ＇物理路径＇ lines terminatedby （这里是WebShell）＃

？id＝1 INTO OUTFILE ＇物理路径＇ fields terminatedby （这里是WebShell）＃

？id＝1 INTO OUTFILE＇物理路径＇columns terminatedby （这里是WebShell）＃

？id＝1 INTO OUTFILE ＇物理路径＇ lines startingby （这里是WebShell）＃

基于log日志写入的方法其实是先将日志文件的导出目录修改成Web目录，然后执行了一次简单的WebShell代码查询功能，此时日志文件记录了此过程，这样再Web目录下的日志文件就变成了WebShell。例如，我们先设置日志文件的导出目录：set global general＿file ＝ ‘Web目录’；然后执行一遍：select “WebShell代码”；即可。

03使用OUTFILE方法写入Webshell

（1）实验前准备

检查secure＿file＿priv是否开启：show variables like‘％secure％’；确认其不为NULL。有值或为空都可以。（若是为NULL，则需要到my．ini文件中手动修改）