在fofa上搜索相應的站點進行測試:
招數:如何判斷壹個目錄是否存在,往往確定了/var/www/html目錄,但是還有壹層目錄無法確定。可以用目標域名+常用網站根目錄的方法進行爆破。
無法創建/寫入文件'/var/www/html/666.txt '(錯誤代碼:2)如果不存在將被報告;
如果存在但無法寫入目錄,則返回(Errcode:13););
利用流程:
1,獲取網站的絕對路徑
2.判斷您是否有讀寫權限:
在5.5.53版之前,它默認為空,在更高版本中,它默認為null。
該值是壹個只讀變量,只能通過配置文件修改,修改後需要重新啟動服務才能生效。
3.把shell寫到網站的根目錄。
原理:MySQL5.0以上版本會創建壹個日誌文件,phpmyadmin也有壹個日誌文件,但壹般會關閉。通過修改日誌的全局變量,打開日誌並指定日誌保存路徑,將日誌記錄名設置為。php。
查詢日誌全局變量:
打開日誌全局變量:
設置日誌保存路徑:
查詢,以便將查詢語句寫入日誌文件:
原理:只有當查詢語句的執行時間超過系統默認時間時,才會在慢速查詢日誌中記錄該語句。
啟用慢速查詢日誌記錄(默認情況下禁用):
修改慢速查詢日誌文件日誌文件的絕對路徑和文件名:
慢速查詢時間值:
如果查詢時間超過此時間值(默認值為10秒),此查詢語句將被記錄在慢速查詢日誌中。
壹般情況下,執行sql語句的執行時間壹般不會超過10s,所以這個日誌文件應該比較小,而且默認也是禁用的,不會引起管理員註意。
將shell寫入日誌文件:
Phpmyadmin反序列化漏洞任意文件讀取(WooYun-2016-199433)
影響phpmyadmin版本2.x,poc如下:
CVE-2016-5734 RCE:
使用條件:
主要原因是用戶輸入的信息被拼接到preg_replace函數的第壹個參數中。PHP5.4.7之前的preg_replace有漏洞,所以可以用0截斷,常規模式改為E,然後執行命令。
卡利有EXP。
具體請參考:/p/8e44cb1b5b5b。
CVE-2018-12613文件包含:
使用條件:
滿足以下五個條件:
判斷是否有漏洞,通過二次編碼繞過。
/index.php?target=db_sql.php%253f/../../../../../../../../etc/密碼
然後執行sql語句中的壹些語句並將它們記錄在日誌中,然後將它們包含在
選擇' & lt?php phpinfo()?& gt';
查詢phpmyadmin cookie值(開發人員工具視圖)
http://192.168.75 . 130:8080/index . PHP?target=db_sql.php%253f/../../../../../../tmp/sess _ ff 16b 4962 b 5343089 c 8 fcd 4c 58 df 53 ba
CVE-2014 -8959:本地文件包含
使用條件:
概念驗證:
在實際使用中,可以結合該漏洞將文件寫入/tmp目錄完成RCE,通過http頭和將表格內容導出到文件的附加內容可以看到php版本。
CVE-2013-3238:
使用條件:
Msf有相應的利用率模塊:
exploit/multi/http/phpmyadmin _ preg _ replace
CVE-2012-5159:
使用條件:
Msf有相應的利用率模塊:
exploit/multi/http/phpmyadmin _ 3522 _後門
CVE-2009-1151:
命令執行存在於PhpMyAdmin配置文件/config/config.inc.php中。
使用條件:
Msf有相應的利用率模塊:
漏洞利用/unix/webapp/phpmyadmin_config
弱密碼和主密碼:
弱密碼:phpmyadmin2.11.9.2版本,直接root登錄,不需要密碼。
密碼:版本2.11.3/2.11.4,用戶名' localhost' @ @ @ "登錄成功。
phpMyAdmin滲透利用綜述
phpMyAdmin滲透利用綜述