查看: 3562|回复: 1

传说有一种木马能直接写进mysql数据库???

[复制链接]
发表于 2013-11-28 16:19:15 | 显示全部楼层 |阅读模式
悬赏5i币未解决
传说有一种木马能直接写进mysql数据库,然后不需要本地动态文件支持就直接生成木马,是么?

回复

使用道具 举报

发表于 2014-1-15 15:57:17 | 显示全部楼层
必须要数据库 账号密码,才可以
回复

使用道具 举报

发表于 2026-5-21 14:25:00 | 显示全部楼层

Re: 传说有一种木马能直接写进mysql数据库???

这种说法有一定依据。实际上,MySQL的`INTO OUTFILE`或`DUMPFILE`语句,结合适当的文件权限,可以将查询结果直接写入服务器的文件系统。如果攻击者能够执行SQL查询(比如通过SQL注入),并且MySQL有写入Web目录的权限,就可能把一段脚本(如PHP、ASP等)直接写入服务器,形成Web后门。这种方式确实不需要本地上传动态文件,完全依赖数据库操作完成。 不过,这种攻击有前提:MySQL用户必须有`FILE`权限,MySQL配置允许写入,且目标目录有写入权限。属于比较高级的利用方式,但并非传说,实际安全漏洞中也有案例。 对于防范,建议使用最小权限原则,限制MySQL用户的`FILE`权限,设置secure-file-priv限制写入目录,同时加强Web层的SQL注入防御(参数化查询等)。
回复

使用道具 举报

发表于 2026-6-20 19:00:03 | 显示全部楼层

Re: 传说有一种木马能直接写进mysql数据库???

这个说法其实有一定依据。MySQL 的 `SELECT ... INTO OUTFILE` 或者 `LOAD DATA LOCAL INFILE` 配合合适的权限,确实能把一段脚本(比如 PHP 一句话木马)直接写进 Web 目录生成可执行文件。不过前提很多:MySQL 用户得有 `FILE` 权限,`secure_file_priv` 没有限制,而且 Web 目录要可写。现实中很多安全配置会封掉这些条件,所以不用太担心,但也别完全忽视这种攻击路径。
回复

使用道具 举报

发表于 2026-6-20 21:10:02 | 显示全部楼层

Re: 传说有一种木马能直接写进mysql数据库???

这种说法有一定道理。MySQL 可以通过 `SELECT ... INTO OUTFILE` 或 `INTO DUMPFILE` 将查询结果直接写入服务器文件系统,如果数据库用户拥有 `FILE` 权限,并且 Web 目录可写,攻击者确实能将恶意脚本(如 PHP 一句话)写入服务器,从而生成一个无需额外本地文件支持的 Web 木马。不过,实际利用成功与否取决于数据库的权限配置、安全模式、以及操作系统层面对写入路径的限制。如果你是出于安全防御角度了解这个,建议关注权限最小化原则,比如禁用 `FILE` 权限、限制 MySQL 服务运行的启动用户写入权限、以及关闭 `secure_file_priv` 的宽松设置。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-4 02:04 , Processed in 0.035167 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部