2021-04-29-读书笔记1-10-phpMyAdmin漏洞利用与安全防范

最新推荐文章于 2024-07-25 09:37:56 发布
最新推荐文章于 2024-07-25 09:37:56 发布
阅读量313 收藏
点赞数
分类专栏: SQLMAP学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39934009/article/details/116278137
版权

读书笔记1-10                                                             phpMyAdmin漏洞利用与安全防范

phpMyAdmin功能强大,可执行命令,导入导出数据库,但如果存在设置root密码过于简单,就可以获取webshell,甚至服务器权限。phpMyAdmin在一些流行架构中大量使用,如phpstudy,phpnow,wammp,lamp,xamp等,这些架构默认密码root,如未修改,极易被渗透。

MySQL root账号密码获取思路

1 源代码泄露

在有的CMS系统中,对config.inc.php及config.php等数据库配置文件进行编辑时,有可能直接生成bak文件,这些文件可直接读取和下载,很多使用phpmyadmin的网站村目录泄露,通过目录信息泄露,可下载源代码等打包文件,查看这些打包文件可获取源码中数据库配置文件位置,从而获取root账号密码,建议从rar,他人,gz文件中搜集跟进中config,db等

2 暴力破解

  使用burpsuite等暴力破解,甚至可以通过不同字典对单个ip或多个url进行暴力破解

3 其他方式  

 如通过社工邮件账号

获取网站真实路径

1 最直接获取网站真实路径的方法是通过phpinfo.php,即phpinfo()函数,其页面会显示网站真实路径

2 出错页面获取,有些代码文件直接访问会报错,包含真实物理路径,通过构造不存在页面,或访问存在目录信息泄露的代码文

最低0.47元/天 解锁文章
weixin_39934009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 653
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
2021-05网站被入侵事件 与腾讯云客服的解决方案
huang_ftpjh的博客
05-27 1305
遇到这种情况,先查看有没有备份,服务器有没有快照,数据库有没有主从,有没有开启binlog日志;只有一个条件达到就能及时停损 MongoDB赎金事件 https://www.zhihu.com/question/31219956 我以前是一笑而过,而现在被入侵了——!!! 原本以为我腾讯的云服务器不太行,等了10几秒还没有刷出我的页面。没想到第二天访问我的网站后台;显示无法登陆??? mysql数据库被攻击删库_[已解决] 服务器被攻击,数据库被全部删除了 左边的数据库被攻击...
phpmyadmin漏洞汇总
m0_64481831的博客
05-27 1138
phpmyadmin是一个以PHP为基础,以web方式架构在网站主机上的mysql的数据库管理工具,让管理者可用web接口管理mysql数据库,便于远端管理mysql数据库。
小迪安全系列笔记---08-10信息收集(信息搜集的详细总结,前十节课的总结)
weixin_51143604的博客
05-11 1946
XDSec—08-10信息收集 在写这篇博客之前,我一直在整理信息收集的一些方法论,但都感觉信息收集可为是一门玄学,内容大而广,收集的内容也可以多种多样,本文只是简单的总结一下小迪安全课程的知识点,以及本人整理的一些网上的信息收集方法;具体的信息收集方式,每个人都要有自己拿手的一套技术栈; 总之,渗透的本质是信息收集,信息收集的内容全面与否,决定着攻击的成功与否. 【本文只提供信息收集的大致思路,对于工具的使用请自行了解,一些内容会后期补充】 文章目录XDSec---08-10信息收集一、确定目标二
【笔记】网易微专业-Web安全工程师-04.WEB安全实战-1.DVWA部署
weixin_30740295的博客
02-24 125
课程概述: 纸上得来终觉浅,绝知此事要躬行。通过本课的学习和实战演练,让同学们深入理解并掌握常见Web安全漏洞的挖掘、利用技能,以及知晓修复方法。 课程大纲: 第一节.DVWA部署 第二节.暴力破解 第三节.命令注入 第四节.CSRF 第五节.文件包含 第六节.文件上传 第七节.SQL回显注入 第八节.SQL盲注 第九节.XSS 笔记心得: 前面三个课程,主要...
深信服安全服务认证(SCSA-S)学习笔记:第二章 渗透测试基础
a1501090877的博客
10-15 3915
深信服安全服务认证学习笔记
50-webshell获取总结(cms获取方法、非cms获取方法、中间件拿Webshell方法)
XLbb的博客
06-12 1772
一、主要通过百度搜索CMS网站程序名称。如:phpcms拿Webshell、WordPress后台拿Webshell等。 二、1、数据库备份获取Webshell 2、抓包上传获取Webshell 3、Sql命令获取Webshell 4、模板修改获取Webshell 5、插入一句话获取Webshell 6、修改上传类型获取Webshell 三、其它获取Webshell方法:中间件拿Webshell方法 cookices靶场网站搭建和dedecms靶场环境搭建
2017-2018-2 20179202《网络攻防技术》第四周作业
weixin_30725315的博客
04-01 149
漏洞分析之OpenVAS使用 openvasmd --create-user Jspo --role Admin为openvas添加root用户,Admin为角色 openvasmd --user=Jspo --new-password=1234 更改密码 openvas-start //启动 点击红框中的网址,弹出以下界面: 点击Advanced,即可登录页面: ...
WEB安全学习笔记
chenrs727的博客
12-02 1926
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
[ 笔记 ] 计算机网络安全_3_Web安全
Formy7的博客
05-28 753
[笔记] 计算机网络安全:(3)Web安全 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录[笔记] 计算机网络安全:(3)Web安全@[TOC](目录)3.1 Web安全概述3.1.1 Web服务器的安全Web应用的信息收集攻击Web服务器软件攻击Web应用程序攻击Web数据内容3.1.2 Web客户端的安全3.1.3 Web通信信道的安全3.2 Web服务器指纹识别3.2.1 Web服务器指纹介绍3.2.2 Web服务器B
phpMyAdmin漏洞利用安全防范
02-25
很多公司和个人都喜欢使用phpMyAdmin来管理MySQL数据库——在zoomeye中搜索关键字phpmyadmin,我国位居第二,如下图1所示。phpMyAdmin功能非常强大,可以执行命令,导入或者导出数据库,可以说通过phpMyAdmin可以...
Ubuntu-10-04下搭建php网站运行环境linux服务器应用-电脑资料.doc
12-20
现在我们可以在浏览器中输入 `localhost/phpmyadmin`,如果能够管理 MySQL 表明 phpMyAdmin 已经成功安装。 结语 到此,我们已经成功搭建了 PHP 网站运行环境,包括 Ligd、PHP、MySQL 和 phpMyAdmin 等组件。现在...
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x ...
bitnami-docker-phpmyadmin:用于phpMyAdmin的Bitnami Docker映像
04-19
什么是phpMyAdminphpMyAdmin是一个用PHP编写的免费软件工具,旨在处理Web上MySQL管理。 phpMyAdmin在MySQL和MariaDB上支持多种操作。 可以通过用户界面执行常用操作(管理数据库,表,列,关系,索引,用户,...
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 426
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 496
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
2024安全大模型技术与市场研究报告
最新发布
cybtec的博客
07-25 463
2024安全大模型技术与市场研究报告
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1166
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
利用docker-compose搭建LAMP+phpmyadmin环境
05-19
要搭建LAMP+phpmyadmin环境,可以使用docker-compose来完成,以下是步骤: 1. 安装Docker和Docker Compose 2. 创建一个文件夹,例如lamp 3. 在该文件夹下创建docker-compose.yml文件,内容如下: ``` version: '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值