phpmyadmin渗透小技巧

最新推荐文章于 2024-02-01 16:58:49 发布
最新推荐文章于 2024-02-01 16:58:49 发布
阅读量1k 收藏 2
点赞数
分类专栏: 渗透技巧 文章标签: 渗透技巧
我希望自己永远怀着一颗学习的心!
本文链接:https://blog.csdn.net/q1352483315/article/details/100714596
版权

只是单纯的记录给自己看的哈 如果大家看到不要嫌弃

一些建站软件或者傻瓜式的搭建软件phpmyadmin常会在888、999的端口

我们可以尝试用nikto进行检测相应的未授权漏洞
nikto -host http://测试域名地址:999/

setup这个目录有时候管理员不会关闭 因为默认安装的 隐患很大哈 恰恰也能利用

自己能够直接未授权进行操作 我们可以直接新建服务器
在这里插入图片描述

在认证页面的时候 我们还可以能够获取缓存的敏感信息在这里插入图片描述

phpmyadmin如果进去了 其实还是有很多可以利用的漏洞(自己都可以去复现复现)
在这里插入图片描述

小技巧 一次性查询所有的具有目录特征的 能够让我们更方便的进行路径的判断

show variables like "%dir%";
小鱼儿waha
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意攻击行为之扫描PhpMyAdmin的溯源分析
云舒的博客
10-23 1055
此溯源背景为监控恶意行为发现,发现的恶意IP分阶段性进行扫描,扫描特征为对PhpMyAdmin(以下简称phm)的版本号进行扫描,起初几条也就算了,发现类似攻击行为的恶意IP每天不断地出现,于是对其进行溯源分析,经过好些日子的分析,对分析结果总结如下。2、 在部分攻击机上发现config.json文件,其记录了加密的账号、密码,其与c3pool.com相关,经查询,此网站为一个挖矿网站,需科学上网才能访问,但不满足挖矿病毒的条件,也不意味着这个病毒就跟该网站有关。
总结分析 | 基于phpmyadmin渗透测试
小司机的奥拓
09-22 2647
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。
MSQL攻击
荣华的博客
08-07 161
PreparedStatement 它是Statement接口的子接口; 1. 强大之处: 防SQL攻击; 提高代码的可读性、可维护性; 提高效率! 2. 学习PreparedStatement的用法: 如何得到PreparedStatement对象: 给出SQL模板! 调用Connection的PreparedStatement prepareStatement(S...
phpmyadmin setup.php 远程包含,phpMyAdmin setup.php脚本的任意PHP代码注入漏洞
weixin_29616999的博客
03-28 556
漏洞代码在以下环境测试通过:phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 及 3.0.1.1版本;Linux内核版本 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2);攻击环境要求:phpMyAdmin版本:早于2.11.9.5的2.11.x和早于3.1.3.1的3.x;此漏洞只针对采用向导模式安装的ph...
phpmyadmin setup.php 远程包含,phpMyAdmin 4.8.1 远程文件包含漏洞复现
weixin_39532352的博客
03-28 401
0x01 漏洞简介phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在phpMyAdmin 4.8.2 之前的 4.8.x 版本中,其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。影响范围phpMyAdmin 4.8.0phpMyAdmin 4.8.10x02 漏洞环境使用vulnhub快速搭建靶场环境启动后,访问http://yo...
phpMyAdmin
08-18
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具。phpMyAdmin 可以管理整个MySQL服务器(需要超级用户),也可以管理单个数据库。为了实现后一种,你将
Phpmyadmin
07-26
**phpMyAdmin** phpMyAdmin 是一个开源的、基于Web的MySQL数据库管理工具,它允许用户通过浏览器界面轻松地执行各种数据库操作,如创建、修改和删除数据库表,执行SQL查询,管理用户权限等。这款工具是用PHP编程...
phpmyadmin
08-27
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料...
phpMyAdmin.zip
05-11
在本文中,我们将深入探讨phpMyAdmin的功能特性、安装过程以及使用技巧。 一、phpMyAdmin的功能特性 1. 数据库管理:phpMyAdmin支持创建、修改和删除数据库,以及执行SQL查询来处理数据。用户可以通过简单的拖放...
phpMyAdmin v4.8.5
10-04
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具。phpMyAdmin 可以管理整个MySQL服务器(需要超级用户),也可以管理单个数据库。为了实现后一种,你将
记一次phpmyadmin巧妙利用
三天不打上房揭瓦的博客
07-31 552
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
使用phpMyAdmin/setup时出现js错误
weixin_30920513的博客
07-15 264
刚开始使用phpMyAdmin/setup时并没有出现这个问题。 因为配置PMA数据库总是不成功,所以反复删除又安装了phpMyAdmin之后突然出现了下面的js错误 看了scripts.js的代码,并没看出来有什么不对劲的地方。 用“缺少标识符,字符串或数字”的关键字到网上查了一下,发现了问题的所在。 _field: { /** * hide_d...
phpMyAdmin 常见漏洞利用记录
The current road is different, love needs to distinguish between right and wrong
11-26 2456
目录 简介 phpmyadmin版本信息获取 phpmyadmin密码爆破 phpmyadmin文件写入 phpmyadmin日志写shell phpmyadmin版本漏洞 phpmyadmin 2.x版本反序列化漏洞任意文件读取(wooyun-2016-199433) CVE-2016-5734 RCE命令执行 CVE-2018-12613 文件包含 结语 简介 phpMyAdmin 是一个以PHP为基础,以WebBase方式架构在网站主机上的MySQL的数据库...
CVE-2018-12613 phpmyadmin文件包含getshell连载(三)
PANDA墨森的博客
06-24 637
这是phpmyadmin系列渗透思路的第三篇文章,前面一篇文章阐述了通过慢查询日志getshell,本文将通过文件包含漏洞展开讨论 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13164349.html #001 影响版本 Phpmyadmin 4.8.0/4.8.0.1/4.8.1 #002 漏洞验证利用 http://www.xxx.com/index.php?target=db_sql.php%253f/../../../../../../e.
phpMyAdmin 授权Getshell
最新发布
蚁景网安学院
02-01 674
渗透测试的时候偶然发现,phpmyadmin少见的打法,以下就用靶场进行演示了。环境搭建使用metasploitable2,发现phpmyadmin,如果这个时候无法登陆,且也没有前台的漏洞,可以继续在这个phpmyadmin目录下做文章。
服务攻防-数据库安全-服务应用的安全问题以及测试流程-Mysql&Hadoop&授权访问&RCE-漏洞复现
ran的博客
05-05 3140
因为其服务是放在内网主机上面的,在内网内开了许多服务(端口 ),比如web和数据库,但是其只将web映射到外网,所以我们只能看到其服务在外网是开的,但是在进行扫描的时候我们扫描的仅仅是组网主机,而组网主机会将数据转发到内网再做处理,所以我们检测不到对应服务端口的开放。有些服务是通过口令验证来去判断服务的启动和禁用的,比如数据库里面有一些数据库里面就内置的数据库的用户,包括账号和密码,如果说设置的这个账号和密码过于简单的话,那么攻击者就可以通过弱口令的猜解得到账号以及密码之后进入,来进行一些安全的测试。
phpmyadmin反序列化漏洞
qq_53008544的博客
05-01 564
phpMyAdmin的Setup脚本用于生成配置。如果远程攻击者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php配置文件中包含任意PHP代码。由于配置文件被保存到了服务器上,经认证的远程攻击者可以利用这个漏洞执行任意PHP代码。
最全phpmyadmin漏洞汇总
热门推荐
kracer的博客
12-04 3万+
目录 一、phpMyAdmin简介 二、查看phpmyadmin版本 三、历史漏洞及poc利用 1、万能密码直接登入 2、CVE-2009-1151:远程代码执行 3、CVE-2012-5159:任意PHP代码攻击 4、CVE-2013-3238:远程PHP代码执行 5、WooYun-2016-199433:任意文件读取漏洞 6、CVE-2014 -8959:本地文件包含 7、CVE-2016-5734 :后台命令执行RCE 8、CVE-2017-1000499 跨站请求伪造 9、C
Nikto
我的成长日记
09-28 2万+
Nikto 转载请注明,原文转自 http://blog.csdn.net/fly_heart_yuan/article/details/6799043 一 简介 Nikto 是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,
phpmyadmin安装文档.docx
02-25
"phpmyadmin安装文档" 在安装和配置phpMyAdmin时,了解必要的安全措施和操作系统特定的安装步骤是至关重要的。phpMyAdmin是一个基于Web的MySQL数据库管理工具,它不负责设置数据库服务器的安全性,而是依赖于系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值