大战之phpmyadmin篇

	01   开战 大战即将拉开帷幕，这日我正在筹备我的兵器库。好友Master在群中发来求助 遇到AppServ的WAMP 套件不知如何下手正巧另一好友CNIU也闻声赶来，大战一触即发。 CNIU说时迟那时快，使用dirsearch对WEB目录进行了一番雷达探测，结果令人失望。这种套件我在多年前经常遇到 也是非常熟悉。这时CNIU查到了一个万能账户'localhost'@'@"顺利进入了phpmyadmin的控制台，实际上用户名 中包含@字符，即可成功进入控制台， 好友的前辈曾经告诉过我们，当用户名输入@@，密码为空即可成功登录 phpmyadmin的版本2.10.3，确实很古老，我们进来的账户是匿名权限，仅可看到test库。 02  协作 多年前，自己对APPSERV套件曾经做过研究，利用@@进入到phpmyadmin控制台后，如果存在CMS系统就读取数据 库配置文件，如果没有CMS系统拿不到配置文件的情况下是可以另辟蹊径的，就是读取mysql数据下的MYD文件进行分 析最终拿到root密码并实现最终的getshell。（贴出N年前的记录） 成功的语句历历在目。马上执行SQL语句开始我们的攻城拔赛。 居然被WAF无情拦截 一般情况下WAF是不会拦截phpmyadmin的数据库语句操作，这里可能是某些硬防进行了全方位的拦截 记得之前APPSERV自带的phpinfo页面也是访问直接被拦截。在SQL语句处进行了一些简单测试就是一 个很常规的正则，同时出现相关字符串就进行拦截。 看来目标开启了“虎视眈眈”模式，让我们无处遁形。好友Master和CNIU也顿时陷入僵局 这个时候我想到了之前phpmyadmin的XXE漏 洞 测试以下代码进行导入操作，也被WAF拦截了。 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo> 正当我一愁莫展的时候 CNIU在群里告知可以在导入处提交sql文件写入语句即可绕过WAF。 原来 虎视眈眈 也不过是个 纸老虎。 这下问题来了，没有phpinfo，又不是默认路径，难道要猜测？要爆破？ 正当我的大脑飞速运转时，Master好友居然想到了老版本的路径报错漏洞 顺利拿到了web路径 有两位好友坐镇，我也开启了SPORT模式，以180迈冲了出去。 新建一个1.sql贴入以下语句 create table test(cmd blob); LOAD DATA LOCAL INFILE 'D:/AppServ/MySQL/data/mysql/user.MYD' INTO TABLE test fields terminated by '' LINES TERMINATED BY '\0'; select hex(cmd) from test; 执行后把结果复制并粘贴到HEXWORKSHOP,组成40位MYSQL5的SHA1哈希。 成功破解出明文后以root权限进入后台，由于WAF不拦截select into outfile的语句所以 可以随意写入一个文件。 03  攻陷 因为此处存在WAF，写入常规的一句话十有八九会被拦截。所以需要写入哥斯拉等其他加密shell并进行 连接为了照顾某些新手小王，这里还是提及一下getshell的流程。 首先把shell代码贴入到相关转换工具，由于我是个老王，用的是CAL9000，大家可根据自我 喜好使用例如burpsuite等工具。 转换成功后可使用语句写入webshell，最后成功连上。 select converthex into dumpfile 'D:/AppServ/www/pthwaf.php' 04   收官 回望此次王虎大战，感触颇深。最后的成功在于团队的通力协作，没有CNIU对于phpmyadmin控制台的探索以对抗 WAF没有Master丰富的作战经验想到的报错路径，可能此番交手并非一帆风顺。谨以此文，告知各位小伙伴 再聪明 的大脑也敌不过团队的高效，正所谓“三个臭皮匠,顶个诸葛亮”。希望大家以后遇到此类环境和WAF的时候 能够举 一反三。