云服务器免费试用

phpmyadmin的简单介绍

服务器知识 0 630

本文目录:

  • 1、phpmyadmin登陆出现无法登陆MySQL
  • 2、phpMyAdmin利用小结
  • 3、phpmyadmin默认密码是什么?
  • 4、phpmyadmin怎么安装
  • 5、欢迎使用 phpMyAdmin 的登陆界面的用户名和密码是什么?

phpmyadmin登陆出现无法登陆MySQL

phpmyadmin登陆出现无法登录MySQL是设置错误造成的,解决方法为:

1、首先打开运行命令窗口,可以通过按住windows键+R的组合键来实现,输入cmd,然后按下回车键。

2、这样就进入了doc的命令窗口。

3、切换到我们安装mysql的盘符。

4、然后再切换到mysql的bin目录。

5、输入mysql -uroot -p。

6、提示输入密码。

7、输入mysql密码之后,然后按下回车键,出现welcome的字样表示登陆成功。

phpMyAdmin利用小结

在phpmyadmin根目录下后面添加:

在fofa上搜索相应站点进行测试:

Trick:如何判断目录是否存在,往往确定了/var/www/html目录,但是还有一层目录不能 确定,可以采用目标域名+常用的网站根目录的方式进行爆破,当使用

不存在将会报错Can't create/write to file '/var/www/html/666.txt' (Errcode: 2);

如果存在但是目录写不进去将返回(Errcode: 13);

利用过程:

1、获取网站绝对路径

2、判断是否有读写权限:

版本5.5.53之前默认为空,之后的版本默认为null

这个值是只读变量,只能通过配置文件修改,且更改后需重启服务才生效

3、写入shell到网站根目录下

原理:MySQL5.0版本以上会创建日志文件,phpmyadmin有一个记录日志的文件,但是一般情况下会关闭。通过修改日志的全局变量,打开日志并指定日志保存路径,设置日志记录名称为.php

查询日志全局变量:

打开日志全局变量:

设置日志保存路径:

进行查询,使查询的语句写入日志文件中:

原理:只有当查询语句执行的时间要超过系统默认的时间时,该语句才会被记入进慢查询日志

启用慢查询日志(默认禁用):

修改slow_query_log_file日志文件的绝对路径以及文件名:

慢查询时间值:

如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中

通常情况下执行sql语句时的执行时间一般不会超过10s,所以说这个日志文件应该是比较小的,而且默认也是禁用状态,不会引起管理员的察觉。

向日志文件写入shell:

phpmyadmin反序列化漏洞任意文件读取(WooYun-2016-199433)

影响phpMyAdmin 2.x版本,poc如下:

CVE-2016-5734 RCE:

利用条件:

主要原因由于将用户输入的信息拼接进preg_replace函数第一个参数中,而在PHP5.4.7以前,preg_replace存在漏洞,可以0进行截断,并将正则模式修改为e,进而执行命令。

在Kali中有自带的EXP

具体请参考:

CVE-2018-12613文件包含:

利用条件:

满足以下5个条件:

判断是否存在漏洞经过二次编码绕过

/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

然后在sql语句中执行一些语句记录到日志,然后在包含即可

SELECT '?php phpinfo()?';

查询phpmyadmin cookie值(开发者工具查看)

CVE-2014 -8959:本地文件包含

利用条件:

POC:

在实际利用中可以利用写入文件到/tmp目录下结合此漏洞完成RCE,php版本可以通过http header、导出表内容到文件的附加内容看到。

CVE-2013-3238:

利用条件:

msf有相应的利用模块:

exploit/multi/http/phpmyadmin_preg_replace

CVE-2012-5159:

利用条件:

msf有相应的利用模块:

exploit/multi/http/phpmyadmin_3522_backdoor

CVE-2009-1151:

PhpMyAdmin配置文件/config/config.inc.php存在命令执行

利用条件:

msf有相应的利用模块:

exploit/unix/webapp/phpmyadmin_config

弱口令万能密码:

弱口令:版本phpmyadmin2.11.9.2, 直接root用户登陆,无需密码

万能密码:版本2.11.3 / 2.11.4,用户名’localhost’@'@”则登录成功

phpMyAdmin渗透利用总结

phpMyAdmin 渗透利用总结

phpmyadmin默认密码是什么?

打开(这里我用的是sublime)那个配置文件,把允许空密码登陆选项,也就是我箭头指的'false'改为'ture'.其他的不要动,还用root账户,这次空密码登陆。这次可以登陆进去了,然后点击上面的“账户”选项。

点击“修改权限”。

填上你自己想用的密码。

注意:确认密码别忘了。然后点击右下角的“执行”按钮。

这次回到config.default配置文件,sublime打开然后按Ctrl+F,快速查找,填上“root”迅速找到配置账号和密码的位置,并填上刚刚你通过phpMyAdmin填写的密码。非常重要的一步:重启wampserver!!!然后就可以用你正常配置的密码登陆了。

注意事项:

1.先进config.default设置允许空密码登陆,然后进phpMyAdmin在账户改密码,最后再回到config.default配置密码。

2.config.default配置密码完成后一定要重启wampserver!不然无法加载新的配置。

phpmyadmin怎么安装

1、首先打开浏览器,在百度搜索下载phpMyAdmin,解压到web可以访问的目录下:

2、然后打开phpmyadmin的主目录,打开libraries目录下的config.default.php文件,双击打开编辑配置:

3、打开后先配置访问网址,在变量“$cfg['PmaAbsoluteUri'] ”里填写phpMyAdmin的访问网址,也就是当前主机的地址:

4、在配置MySQL主机信息,修改变量“$cfg['Servers'][$i]['host']”后面的网址,本地旧填写localhost,MySQL端口默认为3306,保留为空即可:

5、接着设置MySQL用户名和密码分别在“$cfg['Servers'][$i]['user'] ”和“fg['Servers'][$i]['password']”两个变量里填写,需要和自己的mysql用户名密码一致才能访问:

6、接着填写认证方法,设置的变量是“$cfg['Servers'][$i]['auth_type'] ”,考虑到安全的因素,这里直接填写cookie就可以:

7、最后是设置短语密码,设置变量“$cfg['blowfish_secret'] ”的值,因为认证方法设置为cookie就需要设置短语密码,这项填写完成就配置完成了:

8、全部设置好后在浏览器输入主机名加Phpmyadmin的文件目录就可以访问了:

欢迎使用 phpMyAdmin 的登陆界面的用户名和密码是什么?

用户名root;默认密码为空。

phpMyAdmin的基本功能可以创建、修改、删除数据库及数据表(可透过接口操作,或是运行SQL语法),多国语系用户界面,可自由切换(支持超过65种不同语言的接口,含繁体中文与简体中文)。

在数据表维护方面,基本的功能具有:检查数据表;分析数据表;修复数据表;最优化数据表;强迫更新数据表("FLUSH")。

6.2.11.0以后增加了创建与查看View的功能,可将数据表内的数据导入(导入)或导出(导出)成多种格式的文件。

扩展资料:

phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。

借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。

其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行。

PHP还能发送HIIP的标题,其提供了极好的连通性到其它数据库(还有ODBC),集成各种外部库来做用PDF文档解析XML的任何事情。

参考资料:百度百科-PhpMyAdmin

【phpmyadmin】的内容来源于互联网,如引用不当,请联系我们修改。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942@qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: phpmyadmin的简单介绍
本文地址: https://solustack.com/25487.html

相关推荐:

网友留言:

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。