1.利用phpmyadmin查看数据库用户账号密码
(这里我的phpmyadmin总是报错,就用Mysql-Font代替了,都是一样的)
①查看当前用户权限
②查询数据库路径
③查询mysql路径
一般user.MYD文件存储在\data\mysql\user.MYD下,在本地查看user.MYD发现都是乱码,我们的目的是得到root密码实现提权,接下来就是得到root的哈希值
④依次执行以下命令
create table hy(hyh text);
load data local infile 'D:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\data\\mysql\\user.MYD' into table hy fields terminated by '' LINES TERMINATED BY '\0';
select * from hy;
得到root哈希值为81F5E21E35407D884A6CD4A731AEBFB6AF209E1B
听别的大佬说带*号说明是40位加密,这里正好是40位
测试完才想起来这里可以直接select * from mysql.user;
也是能查到hash值的,在真实情况下可能没这么简单,就当积累了
关于有时候可能遇到root哈希值显示不完整的情况
https://www.cnblogs.com/h4ck0ne/p/5154612.html
这一种方法只适用于secure_file_priv不为NULL的情况
当secure_file_priv 值为空时候三个函数(into oufile()、load_file()、into dumpfile()),禁止导入导出功能
语句SHOW VARIABLES LIKE 'secure_file_priv’可用来查询
2.利用日志覆盖getshell
先讲一下思路
首先查看日志功能是否开启,没有开启的话就开启,重新指定日志文件的保存路径,执行一个一句话木马,拿到shell
过程
可以看到并没有开启日志,下面就来开启
将原本的日志文件位置指向到目标网站的物理位置,注意这里要用\\表示物理路径,否则创建文件失败
接着写入一句话
这样就会被记录到日志当中(注意这里hyh不能加引号,否则会报错,猜测可能是魔术引号
成功写入
拿到shell
最后不要忘了痕迹清理
还有一个问题,也是必须要解决的,蚁剑连接必须是搭建好web目录下,区分于mysql路径和数据库路径,这两个没有在web目录下,蚁剑是无法连接的
实战情况下,可以根据经验来猜如phpinfo.php的位置等等,或者是通过命令将一些配置文件如httpd.conf输出到一个文档中,读取查找
参考
https://www.cnblogs.com/h4ck0ne/p/5154612.html
https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650459937&idx=2&sn=d02a039aeab42c4274f538843cd00a3a&chksm=83bbaac5b4cc23d39243b67716ee49b32af7a34a1d8ffebdccc5c1d4f1ff6eeebbd9709538a8&scene=126&sessionid=1582709144&key=b942cbf396198d6cf2adae005397c9c2a957c1eecc7740fc5916418e0ccab4f86f546bbebaf22fb5f36da8856f1f526f30df564e66d6da58525413d0f929586609df989192ae64efc3e18a314aa85345&ascene=1&uin=MzYyNDc2MjQwNQ%3D%3D&devicetype=Windows+10&version=62080079&lang=zh_CN&exportkey=A2d8t60FaMf13HQl7%2BE0DHE%3D&pass_ticket=H8cB6w49vI4BEi5EtkPuHXqI2rZEF2U2hDaCrTwXNJZT1dOfn7dPR8Z6Hh2Jus3s
https://www.cnblogs.com/my1e3/p/5863161.html
