mssql 数据导成文件_Adminer4.6.2任意文件读取漏洞

最新推荐文章于 2024-02-03 20:11:34 发布
最新推荐文章于 2024-02-03 20:11:34 发布
阅读量623 收藏 1
点赞数
文章标签: mssql 数据导成文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39866741/article/details/111705259
版权
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类...
摘要由CSDN通过智能技术生成
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前言

Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库,https://github.com/vrana/adminer 。

2df623b65d2adab3d93748e02ae03e2b.png

0x02 漏洞原理

Adminer任意文件读取漏洞其实来源于MySQL“LOAD DATA INFILE”安全问题,原理可参考先知社区 @mntn 写的“ 通过MySQL LOAD DATA特性来达到任意文件读取 ”,Adminer4.6.3版本中已经修复了LOAD DATA LOCAL INFILE问题。
最低0.47元/天 解锁文章
weixin_39866741
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 任意文件读取漏洞_Adminer任意文件读取漏洞
weixin_33918358的博客
02-07 2415
软件简介官方网站:https://www.adminer.org/Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。漏洞原理Adminer任意文件读取漏洞其实来源于MySQL“LOAD DAT...
渗透测试中遇到的Adminer任意文件读取漏洞
网安君的博客
01-17 6212
在某次做项目的时候遇到一个mysql.php,打开发现是adminer,网上搜到任意文件读取复现的时候,用了网上很多的python脚本都无法运行起来(例如:https://github.com/allyshka/Rogue-MySql-Server)。在GitHub找到一个可以运行的脚本,原理是模拟mysql的运行。
Adminer4.6.2任意文件读取漏洞1
08-03
Adminer4.6.2 任意读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
mysql-adminer任意文件读取
qq_51478862的博客
05-05 1184
利用条件 1.adminer(版本小于4.6.2)可以远程连接数据库,2.或者可以使靶机服务器主动连接自己的伪造的mysql服务器 原理 攻击者搭建一个伪造的mysql服务器,当有用户去连接上这个伪造的服务器时。攻击者就可以任意读取受害者的文件内容。,也就是A连接B的数据库,B可以伪造假的数据库服务读取A服务器上的文件。所以基于adminer连接的数据库可以反向利用连接自己的恶意服务器,从而达到读取任意文件的目的。 演示: 先下载好adminer,直接放在根路径即可:(攻击的服务器有adminerWeb
vulhub中Adminer远程文件读取漏洞复现(CVE-2021-43008)
最新发布
yougexiaojiuguan的博客
02-03 1188
漏洞复现过程的记录,也是为了方便自己查看
phpMyAdmin(LOAD DATA INFILE) 任意文件读取漏洞(测试)
cj_Hydra's Blog
04-23 1478
前言: 最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国赛,还有最近的Nu1lCTF中都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile ‘/etc/passwd’ into table proc;,从而可以导致my...
adminer-4.7.7_Adminer_MYSQL_php_
09-28
Adminer作为一个数据库管理工具,它提供了数据查询、数据编辑、表管理、用户管理等常见数据库管理功能,且界面直观,操作简便,特别适合开发人员和系统管理员使用。 **标签解析:** “Adminer”是这个工具的名称,...
adminer-4.6.3.zip_Adminer_admin_phpMinAdmin
09-20
Adminer(原phpMinAdmin)是用PHP编写的...类似phpMyAdmin,它是由一个单一的文件准备部署到目标服务器的,Adminer可用于MySQL和PostgreSQLSQLite的,MS SQL,甲骨文,Firebird,SimpleDB,Elasticsearch和MongoDB的
adminer-4.2.2.zip_Adminer部署_firebird
09-24
Adminer(原phpMinAdmin)是用PHP编写...类似phpMyAdmin,它是由一个单一的文件准备部署到目标服务器的。Adminer可用于MySQL和PostgreSQLSQLite的,MS SQL,甲骨文,Firebird,SimpleDB,Elasticsearch和MongoDB的。
adminer.php 漏洞,WordPress InBoundio Marketing Plugin 1.0 /admin/partials/csv_uploader.php 文件上传漏洞...
weixin_33973572的博客
03-18 312
/admin/partials/csv_uploader.php<?php$ds = DIRECTORY_SEPARATOR; //1$storeFolder = 'uploaded_csv'; //2if (!empty($_FILES)) {$_FILES['file']['name'] = preg_replace('/[^A-Za-z0-9 _ .-]/', ...
配置文件读取绝对路径_Adminer任意文件读取漏洞复现
weixin_30014265的博客
01-31 1477
正文:943字8图预计阅读时间:3分钟简介Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。https://www.adminer.org/#download漏洞复现在攻击机器...
PhpMyAdmin 4.0.x - 4.6.2 远程执行代码漏洞 (CVE-2016-5734)复现
haoxue__的博客
03-05 359
PhpMyAdmin 4.0.x - 4.6.2 远程执行代码漏洞 (CVE-2016-5734)复现
HackTheBox::Admirer
aya3t的博客
10-14 794
HackTheBox::Admirer
phpmyadmin 4.8.1漏洞复现(实战演示)
weixin_49071539的博客
12-21 1610
第一步,根据该版本CVE漏洞构造URL,在index.php后添加内容,如显示/etc/passwd详细内容。 /* 方法一 */ http://localhost:8088/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd /* 方法二 */ http://localhost:8088/phpmyadmin/index.php?target=db_datadict.php%253f/../../.
phpmyadmin漏洞分析复现
weixin_43047908的博客
08-19 1258
目录前言环境搭建漏洞复现CVE-2016-5734CVE-2018-12613 前言 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL
SSRF漏洞
qq_41261181的博客
07-15 181
SSRF漏洞 背景:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 概述:很多Web应用都提供了从其他服务器上获取数据的功能。使用用户指定的URL,Web应用可以获取图片,下载文件读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应...
phpMyAdmin 2.x版本任意文件读取
网络安全。
01-18 854
0x01 简介 phpmyadmin scripts/setup.php 页面存在反序列化漏洞(WooYun-2016-199433) phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 0x02 漏洞复现 POST /scripts/setup.php HTTP/1.1 Host: ip:8080 User-Agent: Mozilla/5...
PhpMyadmin任意文件读取漏洞
ytfhjhv的博客
11-14 1096
PhpMyadmin任意文件读取漏洞
centos安装Adminer
09-25
4. 接下来,你需要修改Apache配置文件,以允许访问Adminer。打开`/etc/httpd/conf/httpd.conf`文件,并添加以下行: ``` Alias /adminer /var/www/html/adminer.php <Directory /var/www/html/adminer.php> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值