phpmy
A. phpmyadmin怎麼安裝
1、首先打開瀏覽器,在網路搜索下載 phpMyAdmin,解壓到 web 可以訪問的目錄下:
B. phpMyAdmin利用小結
在phpmyadmin根目錄下後面添加:
在fofa上搜索相應站點進行測試:
Trick:如何判斷目錄是否存在,往往確定了/var/www/html目錄,但是還有一層目錄不能 確定,可以採用目標域名+常用的網站根目錄的方式進行爆破,當使用
不存在將會報錯Can't create/write to file '/var/www/html/666.txt' (Errcode: 2);
如果存在但是目錄寫不進去將返回(Errcode: 13);
利用過程:
1、獲取網站絕對路徑
2、判斷是否有讀寫許可權:
版本5.5.53之前默認為空,之後的版本默認為null
這個值是只讀變數,只能通過配置文件修改,且更改後需重啟服務才生效
3、寫入shell到網站根目錄下
原理:Mysql5.0版本以上會創建日誌文件,phpmyadmin有一個記錄日誌的文件,但是一般情況下會關閉。通過修改日誌的全局變數,打開日誌並指定日誌保存路徑,設置日誌記錄名稱為.php
查詢日誌全局變數:
打開日誌全局變數:
設置日誌保存路徑:
進行查詢,使查詢的語句寫入日誌文件中:
原理:只有當查詢語句執行的時間要超過系統默認的時間時,該語句才會被記入進慢查詢日誌
啟用慢查詢日誌(默認禁用):
修改slow_query_log_file日誌文件的絕對路徑以及文件名:
慢查詢時間值:
如果查詢時間超過了這個時間值(默認為10秒),這個查詢語句將被記錄到慢查詢日誌中
通常情況下執行sql語句時的執行時間一般不會超過10s,所以說這個日誌文件應該是比較小的,而且默認也是禁用狀態,不會引起管理員的察覺。
向日誌文件寫入shell:
phpmyadmin反序列化漏洞任意文件讀取(WooYun-2016-199433)
影響phpMyAdmin 2.x版本,poc如下:
CVE-2016-5734 RCE:
利用條件:
主要原因由於將用戶輸入的信息拼接進preg_replace函數第一個參數中,而在PHP5.4.7以前,preg_replace存在漏洞,可以0進行截斷,並將正則模式修改為e,進而執行命令。
在Kali中有自帶的EXP
具體請參考: https://www.jianshu.com/p/8e44cb1b5b5b
CVE-2018-12613文件包含:
利用條件:
滿足以下5個條件:
判斷是否存在漏洞經過二次編碼繞過
/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd
然後在sql語句中執行一些語句記錄到日誌,然後在包含即可
SELECT '<?php phpinfo()?>';
查詢phpmyadmin cookie值(開發者工具查看)
http://192.168.75.130:8080/index.php?target=db_sql.php%253f/../../../../../../tmp/sess_
CVE-2014 -8959:本地文件包含
利用條件:
POC:
在實際利用中可以利用寫入文件到/tmp目錄下結合此漏洞完成RCE,php版本可以通過http header、導出表內容到文件的附加內容看到。
CVE-2013-3238:
利用條件:
msf有相應的利用模塊:
exploit/multi/http/phpmyadmin_preg_replace
CVE-2012-5159:
利用條件:
msf有相應的利用模塊:
exploit/multi/http/phpmyadmin_3522_backdoor
CVE-2009-1151:
PhpMyAdmin配置文件/config/config.inc.php存在命令執行
利用條件:
msf有相應的利用模塊:
exploit/unix/webapp/phpmyadmin_config
弱口令&萬能密碼:
弱口令:版本phpmyadmin2.11.9.2, 直接root用戶登陸,無需密碼
萬能密碼:版本2.11.3 / 2.11.4,用戶名』localhost』@'@」則登錄成功
phpMyAdmin滲透利用總結
phpMyAdmin 滲透利用總結
C. phpmyadmin怎麼安裝配置
phpmyadmin就是一種mysql的管理工具,安裝該工具後,即可以通過web形式直接管理mysql數據,而不需要通過執行系統命令來管理,非常適合對資料庫操作命令不熟悉的資料庫管理者。
PHPMyAdmin安裝配置:
1.一般網上下載到的PHPMyAdmin是一個壓縮包,我們將其釋放到htdocs目錄中,例如htdocs\phpmyadmin。
2.打開phpmyadmin目錄,在此目錄下是否有config.sample.inc.php文件,如果存在,那麼將其改名為config.inc.php。(根據版本不同,有可能直接就有config.inc.php文件,那就無需改名,也有可能根本就沒有config.sample.inc.php或者config.inc.php,那我們就到phpmyadmin\libraries目錄下將config.default.php復制到phpmyadmin目錄下並改名為config.inc.php)。
3.打開config.inc.php文件(可以用寫字板),找到$cfg['blowfish_secret']='';與$cfg['Servers'][$i]['auth_type']='cookie';,如果$cfg['Servers'][$i]['auth_type']的值就像前面看到的那樣為cookie的話,那麼我們必須在$cfg['blowfish_secret']=''的引號中任意寫入一串字元,大家可以把它理解為一個身份驗證碼。比如$cfg['blowfish_secret']='sunec'。存檔退出。
至此,phpmyadmin的安裝配置工作就結束了,進入瀏覽器,在地址欄輸入http://localhost/phpmyadmin/main.php,(這里的路徑是根據先前你將phpmyadmin解壓在htdocs的目錄名決定的),順利的話,頁面上應該出現讓你輸入用戶名密碼的畫面了,輸入用戶名密碼(Mysql的用戶名密碼),隨即進入phpmyadmin的主界面。至於使用方法~暫時不在這里展開,大家可以自己先摸索一下~
怎麼安裝該工具:
1.先到網上下載phpmyadmin,再解壓到可以訪問的web目錄下(如果是虛擬空間,可以解壓後通過ftp等上傳到web目錄下),當然您可以修改解壓後該文件的名稱。
2.配置config文件
打開libraries下的config.default.php文件,依次找到下面各項,按照說明配置即可:
A.訪問網址
$cfg['PmaAbsoluteUri'] = '';這里填寫phpmyadmin的訪問網址
B.mysql主機信息
$cfg['Servers'][$i]['host'] = 'localhost'; // MySQL hostname or IP address
填寫localhost或mysql所在伺服器的ip地址,如果mysql和該phpmyadmin在同一伺服器,則按默認localhost
$cfg['Servers'][$i]['port'] = ''; // MySQL port - leave blank for default port
mysql埠,如果是默認3306,保留為空即可
C.mysql用戶名和密碼
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user訪問phpmyadmin使用的mysql用戶名
fg['Servers'][$i]['password'] = ''; // MySQL password (only needed對應上述mysql用戶名的密碼
D.認證方法
$cfg['Servers'][$i]['auth_type'] = 'cookie';
在此有四種模式可供選擇,cookie,http,HTTP,config
config方式即輸入phpmyadmin的訪問網址即可直接進入,無需輸入用戶名和密碼,是不安全的,不推薦使用。
當該項設置為cookie,http或HTTP時,登錄phpmyadmin需要數據用戶名和密碼進行驗證,,具體如下:
PHP安裝模式為Apache,可以使用http和cookie;
PHP安裝模式為CGI,可以使用cookie
E.短語密碼(blowfish_secret)的設置
$cfg['blowfish_secret'] = '';
如果認證方法設置為cookie,就需要設置短語密碼,置於設置為什麼密碼,由您自己決定 ,但是不能留空,否則會在登錄phpmyadmin時提示錯誤
好了,到此為止,您已經成功安裝了phpmyadmin,簡單吧:) ,趕快登錄體驗下吧。
配置
3、打開 /libraries/config.default.php文件(舊版本是根目錄下的config.inc.php文件),用寫字板(不要用記事本,這是UTF8編碼)進行編輯,按照說明配置即可。
4、查找 $cfg['PmaAbsoluteUri']=『'; // 修改為你將上傳到空間的phpMyAdmin的網址
如:$cfg['PmaAbsoluteUri'] =『http: // 網站域名/phpmyadmin/';
5、查找 $cfg['Servers'][$i]['host'] =『localhost'; // 通常用默認,也有例外,可以不用修改
6、查找 $cfg['Servers'][$i]['auth_type'] =『config'; // 在自己的機子里調試用config;如果在網路上的空間用cookie.
在此有四種模式可供選擇:cookie,http,HTTP,config
① config 方式即輸入phpMyAdmin 的訪問網址即可直接進入,無需輸入用戶名和密碼,是不安全的,不推薦使用。
② 設置cookie,http,HTTP方式,登錄 phpMyAdmin 需要數據用戶名和密碼進行驗證。
具體如下:PHP 安裝模式為 Apache,可以使用 http 和 cookie;PHP 安裝模式為 CGI,可以使用 cookie。
7、查找 $cfg['Servers'][$i]['user'] = 『root'; // MySQL用戶名
8、查找 $cfg['Servers'][$i]['password'] =''; // MySQL 密碼 (only needed 留空就可以了)
9、查找 $cfg['Servers'][$i]['only_db'] = ''; // 你只有一個數據就設置一下,設置為你的資料庫名;如果你想架設伺服器,那麼建議留空
10、查找 $cfg['DefaultLang'] = 『zh'; // 這里是選擇語言,zh代表簡體中文的意思
11、查找$cfg['blowfish_secret'] =''; // 如果認證方法設置為cookie,就需要設置短語密碼,設置為什麼密碼,由您自己決定,這里不能留空,否則會在登錄phpMyAdmin 時會被提示錯誤。
D. PhpMyAdmin是什麼免費的嗎
phpMyAdmin 是一個以PHP為基礎,以Web-Base方式架構在網站主機上的MySQL的資料庫管理工具,讓管理者可用Web介面管理MySQL資料庫。藉由此Web介面可以成為一個簡易方式輸入繁雜SQL語法的較佳途徑,尤其要處理大量資料的匯入及匯出更為方便。其中一個更大的優勢在於由於phpMyAdmin跟其他PHP程式一樣在網頁伺服器上執行,但是您可以在任何地方使用這些程式產生的HTML頁面,也就是於遠端管理MySQL資料庫,方便的建立、修改、刪除資料庫及資料表。也可藉由phpMyAdmin建立常用的php語法,方便編寫網頁時所需要的sql語法正確性。
phpMyAdmin
phpMyAdmin 是一個以PHP為基礎,以Web-Base方式架構在網站主機上的MySQL的資料庫管理工具[2] 。
可以管理整個MySQL伺服器(需要超級用戶),也可以管理單個資料庫。為了實現後一種,你將需要合理設置MySQL用戶,他只能對允許的資料庫進行讀/寫。那要等到你看過MySQL手冊中相關的部分。
安裝與配置
目前最新版本是phpMyAdmin 4.1.9。
站點上提供了不同的程序壓縮方式供我們下載,這里我選擇 bzip2 方式的來下載(因為這種文件體積小些,下其它格式的也可以)。
下面我們開始對phpmyadmin進行設置。
2、解壓後得到一個目錄,進入相關目錄中的\libraries目錄,找到 config.default.php文件份到上級目錄,並命名為config.inc.php ;
在config.inc.php中
找到 $cfg['PmaAbsoluteUri']
修改你將用於讓虛機用戶訪問的phpMyAdmin的網址
如:$cfg['PmaAbsoluteUri'] = 'http://ip/phpmyadmin/'; 或$cfg['PmaAbsoluteUri'] = 'http://ip:8899' (寫出訪問phpMyAdmin的絕對URL)
還有這些更改的地方:
$cfg['Servers'][$i]['host'] = 'localhost';(通常用默認,也有例外)
$cfg['Servers'][$i]['auth_type'] = 'cookie'; // Authentication method (config, http or cookie based)?
用cookie。因為是網路上使用所以這里選擇cookie
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user
$cfg['Servers'][$i]['password'] = ''; // MySQL password (only needed自己機里不用設置)
註:$cfg['blowfish_secret'] = '';
本機的話不需要設置,但是網路的話需要設置成cookie:
$cfg['blowfish_secret'] = 'cookie';
設置完畢。
3、打開IE,輸入http://ip/phpmyadmin/(當然你設置不同就用那個網址。),輸入用戶名和密碼後,用phpmyadmin瀏覽相應的mysql資料庫;
如果設置$cfg['Servers'][$i]['auth_type'] = 'cookie'; 所以顯示會要求輸入帳號。
4、$cfg['DefaultLang'] = 'zh'; (這里是選擇語言,zh代表簡體中文的意思)
如何安裝:
怎麼安裝該工具:
1.先到網上下載phpmyadmin,再解壓到可以訪問的web目錄下(如果是虛擬空間,可以解壓後通過ftp等上傳到web目錄下),當然您可以修改解壓後該文件的名稱。
2.配置config文件
打開libraries下的config.default.php文件,依次找到下面各項,按照說明配置即可:
A.訪問網址
引用:
$cfg['PmaAbsoluteUri'] = '';這里填寫phpmyadmin的訪問網址
B.mysql主機信息
引用:
$cfg['Servers'][$i]['host'] = 'localhost'; // MySQL hostname or IP address
填寫localhost或mysql所在伺服器的ip地址,如果mysql和該phpmyadmin在同一伺服器,則按默認localhost
$cfg['Servers'][$i]['port'] = ''; // MySQL port - leave blank for default port
mysql埠,如果是默認3306,保留為空即可
C.mysql用戶名和密碼
引用:
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user 訪問phpmyadmin使用的mysql用戶名
fg['Servers'][$i]['password'] = ''; // MySQL password (only needed對應上述mysql用戶名的密碼
D.認證方法
引用:
$cfg['Servers'][$i]['auth_type'] = 'cookie';
在此有四種模式可供選擇,cookie,http,HTTP,config
config方式即輸入phpmyadmin的訪問網址即可直接進入,無需輸入用戶名和密碼,是不安全的,不推薦使用。
當該項設置為cookie,http或HTTP時,登錄phpmyadmin需要數據用戶名和密碼進行驗證,,具體如下:
PHP安裝模式為Apache,可以使用http和cookie;
PHP安裝模式為CGI,可以使用cookie
E.短語密碼(blowfish_secret)的設置
引用:
$cfg['blowfish_secret'] = '';
如果認證方法設置為cookie,就需要設置短語密碼,置於設置為什麼密碼,由您自己決定 ,但是不能留空,否則會在登錄phpmyadmin時提示錯誤
好了,到此為止,您已經成功安裝了phpmyadmin,簡單吧 ,趕快登錄體驗下吧
說明:
該文檔說明的只是安裝phpmyadmin的基本配置,關於config.default.php文件中各個配置參數的詳細說明可以
phpMyAdmin 就是一種 MySQL 資料庫的管理工具,安裝該工具後,即可以通過 web 形式直接管理 MySQL 數據,而不需要通過執行系統命令來管理,非常適合對資料庫操作命令不熟悉的資料庫管理者,下面詳細說明該工具的安裝方法。
一、下載
1、先到官方站點下載phpMyAdmin 安裝包:http://www.phpmyadmin.net/ (安裝包含各種語言all-languages)
2、再解壓到 web 可以訪問的目錄下,如果是虛擬空間,可以解壓後通過 ftp 工具上傳到 web 目錄下,同時您可以修改解壓後該文件的名稱(你可以自定義目錄名稱)。
二、配置
1、打開 /libraries/config.default.php文件(舊版本是根目錄下的config.inc.php文件),用寫字板(不要用記事本,這是UTF8編碼)進行編輯,按照說明配置即可。
2、查找 $cfg['PmaAbsoluteUri']=『'; // 修改為你將上傳到空間的phpMyAdmin的網址
如:$cfg['PmaAbsoluteUri'] =『http: // 網站域名/phpmyadmin/';
3、查找 $cfg['Servers'][$i]['host'] =『localhost'; // 通常用默認,也有例外,可以不用修改
4、查找 $cfg['Servers'][$i]['auth_type'] =『config'; // 在自己的機子里調試用config;如果在網路上的空間用cookie.
在此有四種模式可供選擇:cookie,http,HTTP,config
① config 方式即輸入phpMyAdmin 的訪問網址即可直接進入,無需輸入用戶名和密碼,是不安全的,不推薦使用。
② 設置cookie,http,HTTP方式,登錄 phpMyAdmin 需要數據用戶名和密碼進行驗證。
具體如下:PHP 安裝模式為 Apache,可以使用 http 和 cookie;PHP 安裝模式為 CGI,可以使用 cookie。
5、查找 $cfg['Servers'][$i]['user'] = 『root'; // MySQL用戶名
6、查找 $cfg['Servers'][$i]['password'] =''; // MySQL 密碼 (only needed 留空就可以了)
7、查找 $cfg['Servers'][$i]['only_db'] = ''; // 你只有一個數據就設置一下,設置為你的資料庫名;如果你想架設伺服器,那麼建議留空
8、查找 $cfg['DefaultLang'] = 『zh'; // 這里是選擇語言,zh代表簡體中文的意思
9、查找$cfg['blowfish_secret'] =''; // 如果認證方法設置為cookie,就需要設置短語密碼,設置為什麼密碼,由您自己決定,這里不能留空,否則會在登錄 phpMyAdmin 時提
參考資料:http://www.phpmyadmin.net/
http://ke..com/link?url=-_
E. 歡迎使用 phpMyAdmin 的登陸界面的用戶名和密碼是什麼
用戶名root;默認密碼為空。
phpMyAdmin的基本功能可以創建、修改、刪除資料庫及數據表(可透過介面操作,或是運行SQL語法),多國語系用戶界面,可自由切換(支持超過65種不同語言的介面,含繁體中文與簡體中文)。
在數據表維護方面,基本的功能具有:檢查數據表;分析數據表;修復數據表;最優化數據表;強迫更新數據表("FLUSH")。
6.2.11.0以後增加了創建與查看View的功能,可將數據表內的數據導入(導入)或導出(導出)成多種格式的文件。
(5)phpmy擴展閱讀:
phpMyAdmin 是一個以PHP為基礎,以Web-Base方式架構在網站主機上的MySQL的資料庫管理工具,讓管理者可用Web介面管理MySQL資料庫。
藉由此Web介面可以成為一個簡易方式輸入繁雜SQL語法的較佳途徑,尤其要處理大量資料的匯入及匯出更為方便。
其中一個更大的優勢在於由於phpMyAdmin跟其他PHP程式一樣在網頁伺服器上執行。
PHP還能發送HIIP的標題,其提供了極好的連通性到其它資料庫(還有ODBC),集成各種外部庫來做用PDF文檔解析XML的任何事情。
F. PHPMyAdmin屬於C/S模式嗎
屬於。
1、PHPMyAdmin為了方便管理是屬於C/S模式的,是為了連接和管理伺服器來進行優化的一種模式。
2、PHPMyAdmin可以將應用與服務分離,讓系統有更多的穩定性和靈活性。
3、C/S模式適用於區域網有可靠的安全性,沒有中間環節響應的速度也會更快。
G. ubuntu的phpmyadmin怎麼修改配置
1、首先我們要部署Ubuntu 20.04伺服器,比如租用的是RAKsmart香港伺服器(Ubuntu 20.04)。然後利用SSH工具(如PuTTY)連接到該伺服器,並安裝LAMP堆棧(Linux、Apache、MySQL、PHP)。
2、上述准備工作做好後,便可在命令行界面運行下面命令,開始安裝phpMyAdmin。
sudo apt install phpmyadmin php-mbstring php-zip php-gd php-json php-curl
根據頁面提示選擇Apache2作為Web伺服器,按Enter鍵繼續下一步操作。
3、phpMyAdmin安裝過程中,系統會提示是否配置MySQL資料庫,選擇Yes,並設置一個復雜度高的強密碼以保護資料庫安全。設置完畢後,運行下面命令啟用PHP Mbstring擴展:
sudo phpenmod mbstring
之後,重新啟動Apache服務。
sudo systemctl restart apache2
4、設置用戶並授予許可權。默認的phpMyAdmin帳戶具有較少的可用選項,所以我們需要授予phpMyAdmin一些許可權,使其成為創建和管理MySQL資料庫的實用解決方案。要管理MySQL用戶,可以運行下面命令以root用戶身份登錄到MySQL資料庫:
sudo mysql -u root -p
成功訪問MySQL資料庫的root賬戶後,運行下面命令向phpMyAdmin授予許可權。
GRANT ALL PRIVILEGES ON *.* TO 『phpmyadmin』@』localhost』;
FLUSH PRIVILEGES;
EXIT
5、phpMyAdmin安裝成功後,打開瀏覽器訪問URL:http://your-server-IP/phpmyadmin。這里需將your-server-IP替換為當前使用的RAKsmart香港伺服器IP地址。我們可以在RAKsmart後台管理頁面的伺服器信息列表中查看到該IP地址。
然後使用前面設置的phpMyAdmin用戶名和MySQL密碼登錄到Web界面,便可以開始管理資料庫操作了。
H. phpmyadmin 錯誤
1.如圖所示,錯誤提示無法連接到資料庫,說明在配置文件中的賬號和密碼是錯誤的,需要修改;
