默认安装的 phpMyAdmin 会存在哪些安全隐患

最新推荐文章于 2024-05-16 06:44:16 发布
最新推荐文章于 2024-05-16 06:44:16 发布
阅读量2k 收藏 3
点赞数
分类专栏: 渗透测试 文章标签: phpmyadmin kali php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/85148528
版权
0x00:简介phpMyAdmin 大家很熟悉了,很多服务器都会默认安全,用来管理数据库。默认安装的情况下会存在一些安全隐患。0x01:隐患首先是默认的 setup 目录,phpMyAdmin 安装后的 setup 目录可以直接访问,这个目录可以执行一些操作,暴露一些隐私信息,如下图:其次是,可以通过 phpMyAdmin 来修改 php 的 ini 配置文件,这意味着可以配置...
摘要由CSDN通过智能技术生成

0x00:简介

phpMyAdmin 大家很熟悉了,很多服务器都会默认安全,用来管理数据库。默认安装的情况下会存在一些安全隐患。

0x01:隐患

首先是默认的 setup 目录,phpMyAdmin 安装后的 setup 目录可以直接访问,这个目录可以执行一些操作,暴露一些隐私信息,如下图:

请输入图片描述

其次是,可以通过 phpMyAdmin 来修改 php 的 ini 配置文件,这意味着可以配置 allow_url_include 和 auto_prepend_file,allow_url_include 即允许内容包含。auto_prepend_file 是向 php 文件中添加指定的内容,也是内容包含,用过 wvs 的 acusensor 应该会很熟悉这个选项,wvs 的 acusensor 用来做灰盒扫描,能把问题定位到代码的具体行数,其原理就是将 acusensor 文件上传到服务器,配置的时候就需要打开 auto_prepend_file 选项,以此扫描时可以将 acusensor 的内容包含到每个 php 文件中,做到了灰盒代码分析的功能。

利用 phpMyAdmin 修改 php 的 ini 文件,只需要在目录后跟上参数 - d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input,其作用就是打开 allow_url_include 项和 auto_prepend_file

最低0.47元/天 解锁文章
aFa攻防实验室
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于phpMyAdmin默认安装漏洞的学习笔记
Mi1k7ea
03-01 5988
简单地说,phpMyAdmin安装在Web服务器上的接口界面,主要用于使用php来管理安装在服务器上的后台数据库。在老的版本中,若管理员没有对相应配置信息进行处理的话就导致漏洞的存在。在dvwa中phpMyAdmin默认安装存在漏洞,用户可以在路径中不需要输入账号密码就可以直接访问其中的phpMyAdmin/setup目录: http://10.10.10.137/phpMyAdmin
phpMyAdmin安全配置
nailwl
03-11 6935
第一种方法: xampp下通过修改phpmyadmin访问路径,增强安全性。 1、phpmyadmin 下修改 config.inc.php 添加 $cfg['PmaAbsoluteUri'] = ‘http://localhost/sunMyAdmin’; 其中,sunMyAdmin为修改后的phpmyadmin路径 2、修改 xampp\apache\conf\extra\httpd
phpMyAdmin的安全问题
千里之行,始于足下
12-17 237
1.删除默认的pdm root等密码为空的用户 2.根目录下 的 config.inc.php,打开修改: $cfg['blowfish_secret'] = 'yetnet_j2cms';填写一个字符串 $cfg['Servers'][$i]['controluser'] = 'root';//填 $cfg['Servers'][$i]['controlpass'] =...
PHP环境安全加固_php等保
最新发布
2301_82242351的博客
05-16 822
昨天网站突然打不开,以为是php环境出了问题,各种排除问题,最终发现是80端口出了故障,于是想到很可能是被同行攻击了,通过 “netstat -ano” 命令发现是慢性的CC攻击,我的云服务器配置比较低,CPU消耗高达100%,服务器80端口资源被占用,最终导致网站直接崩溃。magic_quotes_gpc选项默认是关闭的。2、第二个方法是:把网站的访问端口改成88,然后通过IP安全策略封杀掉80端口,这样确实是能百分百有效的防护攻击,但用户都是用80端口访问的,突然改用80的话,就无形中丢失很多用户。
PHPMyAdmin安全设置
phphot
04-16 2808
如何给phpadmin一个保护如何给phpadmin一个保护,即要输入密码才能进入phpadmin:在config.inc.php中:$cfgServers[$i][auth_type]   =  cookie;  //  Authentication  method  (config,  http  or  cookie  based)?  有三种选择config  http  cook
安全加固----五、phpMyadmin服务安全加固
七天
07-06 347
phpMyadmin 服务安全加固 一、漏洞描述 phpMyadmin 是一款流行的数据库管理系统,如果口令设置过于简单,攻击者可以登录到系统,对数据库进行任意增、删、改等高风险恶意操作,从而导致数据泄露或其他入侵事件发生,安全风险高。 二、加固方案 根据通常的业务需求,数据库管理后台主要方便地为数据库管理员、开发人员服务,使用人员范围小,一旦对外网全部开放,将可能造成严重的数据泄露事件发生。所以在部署安装完毕后,建议对 phpMyadmin 管理控制台进行安全加固,具体如下: 1、网络访问控制策略 限制
Win7iis+mysql+php+phpmyadmin安装说明收集.pdf
11-04
以上就是Win7环境下搭建IIS7.5、MySQL、PHPphpMyadmin的详细步骤及涉及的知识点,包括安装、配置、集成以及安全性考虑。整个过程需要对Web服务器、数据库管理、脚本语言和Web应用管理有一定了解,确保所有组件能够...
如何修改WAMP中mysql默认空密码
07-02
这种做法虽然方便了初次安装后的配置工作,但同时也带来了安全隐患。为了保障数据库的安全性,我们需要尽快修改这个默认密码。本文将详细介绍如何通过命令行和phpMyAdmin两种方式来更改MySQL的默认空密码。 #### 一...
MySQL数据库安全设置与注意事项小结
12-15
这显然存在安全隐患,因此,对MySQL进行安全配置至关重要。 首先,必须为root用户设置强密码。可以使用`mysqladmin`命令或者直接通过MySQL客户端来更新`user`表。例如,使用`mysqladmin`命令,输入`mysqladmin -u ...
Windows下DVWA安装
02-12
- 在实际部署时,务必加强服务器的安全配置,避免真实的生产环境中出现安全隐患。 - 使用过程中,定期更新WAMP Server和DVWA至最新版本,以获取最新的安全补丁和支持。 - 对于初学者而言,建议在虚拟机或独立的测试...
xampp安全性设置
11-26
默认情况下,XAMPP安装后并未启用许多安全特性,这可能导致一系列安全隐患。为了确保XAMPP服务器的安全性,我们需要关注以下几个方面: 1. **密码安全**:默认情况下,XAMPP的密码设置较为简单或甚至为空,容易被...
手动漏洞挖掘 phpMyAdmin默认安装
胡乱写点什么
08-11 1243
手动漏洞挖掘(一) 学习web渗透过程中的心得体以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— phpMyAdmin默认安装漏洞—— 需要的工具: burpsuit 靶机(我选择的是Metasploitable2) 一.利用漏洞重放数据 首先在burpsuite的Repeater输入以下代码: POST http://192.168.52.130/php...
PhpMyadmin任意文件读取漏洞
ytfhjhv的博客
11-14 1098
PhpMyadmin任意文件读取漏洞
phpmyadmin漏洞_烽火狼烟丨宝塔服务器面板漏洞风险提示
weixin_39568926的博客
11-25 107
点击上方“盛邦安全WebRAY”可以订阅近日,WebRAY安全服务部监测到宝塔面板在安装phpmyadmin的Linux7.4.2版本及Windows6.8版本中,若phpmyadmin的用户身份验证未做设置,即可通过特定链接地址直接登陆访问数据库。宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、...
phpMyAdmin漏洞利用与安全防范
weixin_44023460的博客
12-08 3463
phpMyAdmin漏洞利用与安全防范   simeon Freebuf最近刊发了一篇文章《下一个猎杀目标:近期大量MySQL数据库遭勒索攻击》,链接地址http://www.freebuf.com/news/127945.html,笔者在对phpMyAdmin漏洞进行研究时发现国内的一些数据库中已经存在数据库病毒,甚至勒索信息,这些病毒的一个表现就是在mysql的user表中创建随机名字的...
phpmyadmin的安全配置
lamper的工作笔记
03-16 1851
以前管理mysql用的MySQL Workbench,今天想试一下phpmyadmin,配置好目录访问浏览器,一访问直接就登到数据库管理了,密码都没输。坑爹的,这也太危险了。查了一下资料,分享如下: phpmyadmin有三种不同的“授权模式”用来登录(有另一种不常用的): cookie模式: web认证方式,以普通网站登录界面显示,输入mysql的用户名和密码,然后进入管理界面 h
确保你的phpMyAdmin安全
阿江的故事
09-07 2797
phpMyAdmin可以在其官网http://www.phpmyadmin.net/中下载 phpMyAdmin是一个非常好的mysql管理工具,但是很多人在使用它时都没有做到基本的安全事项,给数据库留下了很大的安全隐患,其实也很简单,做到以下几步就能大大加强你的数据库管理安全: 1、删除[phpMyAdmin]下的"setup"目录 2、将目录[phpMyAdmin]改名为自己
phpMyAdmin漏洞安全防范
willow_liang的博客
11-28 1121
1.主要功能 数据库在线管理工具 操作数据. 执行mysq|命令 导出和导入数据库 网页版的mysq|管理工具 2.危害 MySQL数据库导出(数据库拖库) 执行导出Webshell 修改数据库 3.phpMyAdmin渗透利用思路 MySQL root密码暴力破解 源代码泄露 读取配置文件 root账号及权限三种方法获取Webshell SQLMAP直连数据库获取权限 社工方法来获取权限 4.phpMyAdmin防范思路 重命名文件夹. 禁止列目录漏洞 设置数据库高强度密
phpmyadmin万能密码
kuxing100的专栏
07-25 6535
phpmyadmin 2.11.3 phpmyadmin 2.11.4 利用方式: 直接在phpmyadmin的用户名内填入: ‘localhost’@'@” 不用填入密码,可以直接登录,管理权限哦。
安装 PHPMyAdmin
04-27
3. 接下来,系统询问你是否要为 PHPMyAdmin 安装数据库。选择“是”,然后输入 MySQL 的 root 用户密码。 4. 然后,系统询问你要为 PHPMyAdmin 创建一个应用程序密码,这是用于访问 PHPMyAdmin 的密码。输入一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值