1
弁言
配景是如此的,大佬moza在两台效劳器搭了一起题,说是组合getshell
问过Moza大佬,说投稿前要打码。
2
整顿思绪直接测试第二个,加了waf的那台效劳器翻开链接,发觉有部份源码败露
凭借源码提醒,无报错,那是基于工夫的推迟注入,那也许注出账号明码,时时和登岸背景连接
那先找背景,直接御剑扫目录,只发觉/phpmyadmin/目录
而且还把我ip给ban了,好在我是校园网,多数次断开外网重连。
到这边,根本断定即是延时注入拿到phpmyadmin的账号明码,而后实行phpmyadmin的背景getshell
3
测试着手
背景盘问语句:$sql="select*fromuserinfowhereid=$uid";
这边id不须要绕过,直接上测试语句
1andif(0=1,1,sleep(6))
竟然直接返回,切确应当是等候6秒的。我猜疑是过滤了空格和and,用+,/**/,%E等接替空格,巨细写,双写,中央插空字符,相同弗成。
去问moza大佬,说你再想想。好吧
百度一波,没找到啥有效的,哪位大佬懂得的望指点
4
爆破嗯,回到着手,这时我点开phpmyadmin背景页面,猛然有个小主意
没有考证码的,那我也许直接爆破出账号明码,据我相识moza大佬有点懒,应当会是弱口令。
我拿出我收藏的字典,行使burpsuite的爆破模块实行爆破
字典有点大,我是以clusterbomb方法,又没配置多线程,是以会很慢。先让它跑先
到了下昼,还没跑出来,1万多条只跑了多。关掉吧
应当是字典题目,把字典一些罕见的弱口令复制出来,再连接一些关键词rootmoza
实行组合字典。而后抓包接续爆破
每爆破一百多条,ip就被ban掉,苦逼的从新整顿字典从新爆破,末了终究有点事实。试验这几组非常事实,rootxxxx胜利
登岸胜利
5
phpmyadmin背景getshell
接下来即是phpmyadmin背景getshell,一个陈旧路加新姿态
先找绝对途径,报错,谷歌,拜候phpmyadmin特定文献,找phpinfo没法爆发途径。
在变量可懂得mysql的绝对途径,那网站根目录会是
