phpmy
A. phpmyadmin怎么安装
1、首先打开浏览器,在网络搜索下载 phpMyAdmin,解压到 web 可以访问的目录下:
B. phpMyAdmin利用小结
在phpmyadmin根目录下后面添加:
在fofa上搜索相应站点进行测试:
Trick:如何判断目录是否存在,往往确定了/var/www/html目录,但是还有一层目录不能 确定,可以采用目标域名+常用的网站根目录的方式进行爆破,当使用
不存在将会报错Can't create/write to file '/var/www/html/666.txt' (Errcode: 2);
如果存在但是目录写不进去将返回(Errcode: 13);
利用过程:
1、获取网站绝对路径
2、判断是否有读写权限:
版本5.5.53之前默认为空,之后的版本默认为null
这个值是只读变量,只能通过配置文件修改,且更改后需重启服务才生效
3、写入shell到网站根目录下
原理:Mysql5.0版本以上会创建日志文件,phpmyadmin有一个记录日志的文件,但是一般情况下会关闭。通过修改日志的全局变量,打开日志并指定日志保存路径,设置日志记录名称为.php
查询日志全局变量:
打开日志全局变量:
设置日志保存路径:
进行查询,使查询的语句写入日志文件中:
原理:只有当查询语句执行的时间要超过系统默认的时间时,该语句才会被记入进慢查询日志
启用慢查询日志(默认禁用):
修改slow_query_log_file日志文件的绝对路径以及文件名:
慢查询时间值:
如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中
通常情况下执行sql语句时的执行时间一般不会超过10s,所以说这个日志文件应该是比较小的,而且默认也是禁用状态,不会引起管理员的察觉。
向日志文件写入shell:
phpmyadmin反序列化漏洞任意文件读取(WooYun-2016-199433)
影响phpMyAdmin 2.x版本,poc如下:
CVE-2016-5734 RCE:
利用条件:
主要原因由于将用户输入的信息拼接进preg_replace函数第一个参数中,而在PHP5.4.7以前,preg_replace存在漏洞,可以0进行截断,并将正则模式修改为e,进而执行命令。
在Kali中有自带的EXP
具体请参考: https://www.jianshu.com/p/8e44cb1b5b5b
CVE-2018-12613文件包含:
利用条件:
满足以下5个条件:
判断是否存在漏洞经过二次编码绕过
/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd
然后在sql语句中执行一些语句记录到日志,然后在包含即可
SELECT '<?php phpinfo()?>';
查询phpmyadmin cookie值(开发者工具查看)
http://192.168.75.130:8080/index.php?target=db_sql.php%253f/../../../../../../tmp/sess_
CVE-2014 -8959:本地文件包含
利用条件:
POC:
在实际利用中可以利用写入文件到/tmp目录下结合此漏洞完成RCE,php版本可以通过http header、导出表内容到文件的附加内容看到。
CVE-2013-3238:
利用条件:
msf有相应的利用模块:
exploit/multi/http/phpmyadmin_preg_replace
CVE-2012-5159:
利用条件:
msf有相应的利用模块:
exploit/multi/http/phpmyadmin_3522_backdoor
CVE-2009-1151:
PhpMyAdmin配置文件/config/config.inc.php存在命令执行
利用条件:
msf有相应的利用模块:
exploit/unix/webapp/phpmyadmin_config
弱口令&万能密码:
弱口令:版本phpmyadmin2.11.9.2, 直接root用户登陆,无需密码
万能密码:版本2.11.3 / 2.11.4,用户名’localhost’@'@”则登录成功
phpMyAdmin渗透利用总结
phpMyAdmin 渗透利用总结
C. phpmyadmin怎么安装配置
phpmyadmin就是一种mysql的管理工具,安装该工具后,即可以通过web形式直接管理mysql数据,而不需要通过执行系统命令来管理,非常适合对数据库操作命令不熟悉的数据库管理者。
PHPMyAdmin安装配置:
1.一般网上下载到的PHPMyAdmin是一个压缩包,我们将其释放到htdocs目录中,例如htdocs\phpmyadmin。
2.打开phpmyadmin目录,在此目录下是否有config.sample.inc.php文件,如果存在,那么将其改名为config.inc.php。(根据版本不同,有可能直接就有config.inc.php文件,那就无需改名,也有可能根本就没有config.sample.inc.php或者config.inc.php,那我们就到phpmyadmin\libraries目录下将config.default.php复制到phpmyadmin目录下并改名为config.inc.php)。
3.打开config.inc.php文件(可以用写字板),找到$cfg['blowfish_secret']='';与$cfg['Servers'][$i]['auth_type']='cookie';,如果$cfg['Servers'][$i]['auth_type']的值就像前面看到的那样为cookie的话,那么我们必须在$cfg['blowfish_secret']=''的引号中任意写入一串字符,大家可以把它理解为一个身份验证码。比如$cfg['blowfish_secret']='sunec'。存盘退出。
至此,phpmyadmin的安装配置工作就结束了,进入浏览器,在地址栏输入http://localhost/phpmyadmin/main.php,(这里的路径是根据先前你将phpmyadmin解压在htdocs的目录名决定的),顺利的话,页面上应该出现让你输入用户名密码的画面了,输入用户名密码(Mysql的用户名密码),随即进入phpmyadmin的主界面。至于使用方法~暂时不在这里展开,大家可以自己先摸索一下~
怎么安装该工具:
1.先到网上下载phpmyadmin,再解压到可以访问的web目录下(如果是虚拟空间,可以解压后通过ftp等上传到web目录下),当然您可以修改解压后该文件的名称。
2.配置config文件
打开libraries下的config.default.php文件,依次找到下面各项,按照说明配置即可:
A.访问网址
$cfg['PmaAbsoluteUri'] = '';这里填写phpmyadmin的访问网址
B.mysql主机信息
$cfg['Servers'][$i]['host'] = 'localhost'; // MySQL hostname or IP address
填写localhost或mysql所在服务器的ip地址,如果mysql和该phpmyadmin在同一服务器,则按默认localhost
$cfg['Servers'][$i]['port'] = ''; // MySQL port - leave blank for default port
mysql端口,如果是默认3306,保留为空即可
C.mysql用户名和密码
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user访问phpmyadmin使用的mysql用户名
fg['Servers'][$i]['password'] = ''; // MySQL password (only needed对应上述mysql用户名的密码
D.认证方法
$cfg['Servers'][$i]['auth_type'] = 'cookie';
在此有四种模式可供选择,cookie,http,HTTP,config
config方式即输入phpmyadmin的访问网址即可直接进入,无需输入用户名和密码,是不安全的,不推荐使用。
当该项设置为cookie,http或HTTP时,登录phpmyadmin需要数据用户名和密码进行验证,,具体如下:
PHP安装模式为Apache,可以使用http和cookie;
PHP安装模式为CGI,可以使用cookie
E.短语密码(blowfish_secret)的设置
$cfg['blowfish_secret'] = '';
如果认证方法设置为cookie,就需要设置短语密码,置于设置为什么密码,由您自己决定 ,但是不能留空,否则会在登录phpmyadmin时提示错误
好了,到此为止,您已经成功安装了phpmyadmin,简单吧:) ,赶快登录体验下吧。
配置
3、打开 /libraries/config.default.php文件(旧版本是根目录下的config.inc.php文件),用写字板(不要用记事本,这是UTF8编码)进行编辑,按照说明配置即可。
4、查找 $cfg['PmaAbsoluteUri']=‘'; // 修改为你将上传到空间的phpMyAdmin的网址
如:$cfg['PmaAbsoluteUri'] =‘http: // 网站域名/phpmyadmin/';
5、查找 $cfg['Servers'][$i]['host'] =‘localhost'; // 通常用默认,也有例外,可以不用修改
6、查找 $cfg['Servers'][$i]['auth_type'] =‘config'; // 在自己的机子里调试用config;如果在网络上的空间用cookie.
在此有四种模式可供选择:cookie,http,HTTP,config
① config 方式即输入phpMyAdmin 的访问网址即可直接进入,无需输入用户名和密码,是不安全的,不推荐使用。
② 设置cookie,http,HTTP方式,登录 phpMyAdmin 需要数据用户名和密码进行验证。
具体如下:PHP 安装模式为 Apache,可以使用 http 和 cookie;PHP 安装模式为 CGI,可以使用 cookie。
7、查找 $cfg['Servers'][$i]['user'] = ‘root'; // MySQL用户名
8、查找 $cfg['Servers'][$i]['password'] =''; // MySQL 密码 (only needed 留空就可以了)
9、查找 $cfg['Servers'][$i]['only_db'] = ''; // 你只有一个数据就设置一下,设置为你的数据库名;如果你想架设服务器,那么建议留空
10、查找 $cfg['DefaultLang'] = ‘zh'; // 这里是选择语言,zh代表简体中文的意思
11、查找$cfg['blowfish_secret'] =''; // 如果认证方法设置为cookie,就需要设置短语密码,设置为什么密码,由您自己决定,这里不能留空,否则会在登录phpMyAdmin 时会被提示错误。
D. PhpMyAdmin是什么免费的吗
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。
phpMyAdmin
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具[2] 。
可以管理整个MySQL服务器(需要超级用户),也可以管理单个数据库。为了实现后一种,你将需要合理设置MySQL用户,他只能对允许的数据库进行读/写。那要等到你看过MySQL手册中相关的部分。
安装与配置
目前最新版本是phpMyAdmin 4.1.9。
站点上提供了不同的程序压缩方式供我们下载,这里我选择 bzip2 方式的来下载(因为这种文件体积小些,下其它格式的也可以)。
下面我们开始对phpmyadmin进行设置。
2、解压后得到一个目录,进入相关目录中的\libraries目录,找到 config.default.php文件份到上级目录,并命名为config.inc.php ;
在config.inc.php中
找到 $cfg['PmaAbsoluteUri']
修改你将用于让虚机用户访问的phpMyAdmin的网址
如:$cfg['PmaAbsoluteUri'] = 'http://ip/phpmyadmin/'; 或$cfg['PmaAbsoluteUri'] = 'http://ip:8899' (写出访问phpMyAdmin的绝对URL)
还有这些更改的地方:
$cfg['Servers'][$i]['host'] = 'localhost';(通常用默认,也有例外)
$cfg['Servers'][$i]['auth_type'] = 'cookie'; // Authentication method (config, http or cookie based)?
用cookie。因为是网络上使用所以这里选择cookie
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user
$cfg['Servers'][$i]['password'] = ''; // MySQL password (only needed自己机里不用设置)
注:$cfg['blowfish_secret'] = '';
本机的话不需要设置,但是网络的话需要设置成cookie:
$cfg['blowfish_secret'] = 'cookie';
设置完毕。
3、打开IE,输入http://ip/phpmyadmin/(当然你设置不同就用那个网址。),输入用户名和密码后,用phpmyadmin浏览相应的mysql数据库;
如果设置$cfg['Servers'][$i]['auth_type'] = 'cookie'; 所以显示会要求输入帐号。
4、$cfg['DefaultLang'] = 'zh'; (这里是选择语言,zh代表简体中文的意思)
如何安装:
怎么安装该工具:
1.先到网上下载phpmyadmin,再解压到可以访问的web目录下(如果是虚拟空间,可以解压后通过ftp等上传到web目录下),当然您可以修改解压后该文件的名称。
2.配置config文件
打开libraries下的config.default.php文件,依次找到下面各项,按照说明配置即可:
A.访问网址
引用:
$cfg['PmaAbsoluteUri'] = '';这里填写phpmyadmin的访问网址
B.mysql主机信息
引用:
$cfg['Servers'][$i]['host'] = 'localhost'; // MySQL hostname or IP address
填写localhost或mysql所在服务器的ip地址,如果mysql和该phpmyadmin在同一服务器,则按默认localhost
$cfg['Servers'][$i]['port'] = ''; // MySQL port - leave blank for default port
mysql端口,如果是默认3306,保留为空即可
C.mysql用户名和密码
引用:
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user 访问phpmyadmin使用的mysql用户名
fg['Servers'][$i]['password'] = ''; // MySQL password (only needed对应上述mysql用户名的密码
D.认证方法
引用:
$cfg['Servers'][$i]['auth_type'] = 'cookie';
在此有四种模式可供选择,cookie,http,HTTP,config
config方式即输入phpmyadmin的访问网址即可直接进入,无需输入用户名和密码,是不安全的,不推荐使用。
当该项设置为cookie,http或HTTP时,登录phpmyadmin需要数据用户名和密码进行验证,,具体如下:
PHP安装模式为Apache,可以使用http和cookie;
PHP安装模式为CGI,可以使用cookie
E.短语密码(blowfish_secret)的设置
引用:
$cfg['blowfish_secret'] = '';
如果认证方法设置为cookie,就需要设置短语密码,置于设置为什么密码,由您自己决定 ,但是不能留空,否则会在登录phpmyadmin时提示错误
好了,到此为止,您已经成功安装了phpmyadmin,简单吧 ,赶快登录体验下吧
说明:
该文档说明的只是安装phpmyadmin的基本配置,关于config.default.php文件中各个配置参数的详细说明可以
phpMyAdmin 就是一种 MySQL 数据库的管理工具,安装该工具后,即可以通过 web 形式直接管理 MySQL 数据,而不需要通过执行系统命令来管理,非常适合对数据库操作命令不熟悉的数据库管理者,下面详细说明该工具的安装方法。
一、下载
1、先到官方站点下载phpMyAdmin 安装包:http://www.phpmyadmin.net/ (安装包含各种语言all-languages)
2、再解压到 web 可以访问的目录下,如果是虚拟空间,可以解压后通过 ftp 工具上传到 web 目录下,同时您可以修改解压后该文件的名称(你可以自定义目录名称)。
二、配置
1、打开 /libraries/config.default.php文件(旧版本是根目录下的config.inc.php文件),用写字板(不要用记事本,这是UTF8编码)进行编辑,按照说明配置即可。
2、查找 $cfg['PmaAbsoluteUri']=‘'; // 修改为你将上传到空间的phpMyAdmin的网址
如:$cfg['PmaAbsoluteUri'] =‘http: // 网站域名/phpmyadmin/';
3、查找 $cfg['Servers'][$i]['host'] =‘localhost'; // 通常用默认,也有例外,可以不用修改
4、查找 $cfg['Servers'][$i]['auth_type'] =‘config'; // 在自己的机子里调试用config;如果在网络上的空间用cookie.
在此有四种模式可供选择:cookie,http,HTTP,config
① config 方式即输入phpMyAdmin 的访问网址即可直接进入,无需输入用户名和密码,是不安全的,不推荐使用。
② 设置cookie,http,HTTP方式,登录 phpMyAdmin 需要数据用户名和密码进行验证。
具体如下:PHP 安装模式为 Apache,可以使用 http 和 cookie;PHP 安装模式为 CGI,可以使用 cookie。
5、查找 $cfg['Servers'][$i]['user'] = ‘root'; // MySQL用户名
6、查找 $cfg['Servers'][$i]['password'] =''; // MySQL 密码 (only needed 留空就可以了)
7、查找 $cfg['Servers'][$i]['only_db'] = ''; // 你只有一个数据就设置一下,设置为你的数据库名;如果你想架设服务器,那么建议留空
8、查找 $cfg['DefaultLang'] = ‘zh'; // 这里是选择语言,zh代表简体中文的意思
9、查找$cfg['blowfish_secret'] =''; // 如果认证方法设置为cookie,就需要设置短语密码,设置为什么密码,由您自己决定,这里不能留空,否则会在登录 phpMyAdmin 时提
参考资料:http://www.phpmyadmin.net/
http://ke..com/link?url=-_
E. 欢迎使用 phpMyAdmin 的登陆界面的用户名和密码是什么
用户名root;默认密码为空。
phpMyAdmin的基本功能可以创建、修改、删除数据库及数据表(可透过接口操作,或是运行SQL语法),多国语系用户界面,可自由切换(支持超过65种不同语言的接口,含繁体中文与简体中文)。
在数据表维护方面,基本的功能具有:检查数据表;分析数据表;修复数据表;最优化数据表;强迫更新数据表("FLUSH")。
6.2.11.0以后增加了创建与查看View的功能,可将数据表内的数据导入(导入)或导出(导出)成多种格式的文件。
(5)phpmy扩展阅读:
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。
借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。
其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行。
PHP还能发送HIIP的标题,其提供了极好的连通性到其它数据库(还有ODBC),集成各种外部库来做用PDF文档解析XML的任何事情。
F. PHPMyAdmin属于C/S模式吗
属于。
1、PHPMyAdmin为了方便管理是属于C/S模式的,是为了连接和管理服务器来进行优化的一种模式。
2、PHPMyAdmin可以将应用与服务分离,让系统有更多的稳定性和灵活性。
3、C/S模式适用于局域网有可靠的安全性,没有中间环节响应的速度也会更快。
G. ubuntu的phpmyadmin怎么修改配置
1、首先我们要部署Ubuntu 20.04服务器,比如租用的是RAKsmart香港服务器(Ubuntu 20.04)。然后利用SSH工具(如PuTTY)连接到该服务器,并安装LAMP堆栈(Linux、Apache、MySQL、PHP)。
2、上述准备工作做好后,便可在命令行界面运行下面命令,开始安装phpMyAdmin。
sudo apt install phpmyadmin php-mbstring php-zip php-gd php-json php-curl
根据页面提示选择Apache2作为Web服务器,按Enter键继续下一步操作。
3、phpMyAdmin安装过程中,系统会提示是否配置MySQL数据库,选择Yes,并设置一个复杂度高的强密码以保护数据库安全。设置完毕后,运行下面命令启用PHP Mbstring扩展:
sudo phpenmod mbstring
之后,重新启动Apache服务。
sudo systemctl restart apache2
4、设置用户并授予权限。默认的phpMyAdmin帐户具有较少的可用选项,所以我们需要授予phpMyAdmin一些权限,使其成为创建和管理MySQL数据库的实用解决方案。要管理MySQL用户,可以运行下面命令以root用户身份登录到MySQL数据库:
sudo mysql -u root -p
成功访问MySQL数据库的root账户后,运行下面命令向phpMyAdmin授予权限。
GRANT ALL PRIVILEGES ON *.* TO ‘phpmyadmin’@’localhost’;
FLUSH PRIVILEGES;
EXIT
5、phpMyAdmin安装成功后,打开浏览器访问URL:http://your-server-IP/phpmyadmin。这里需将your-server-IP替换为当前使用的RAKsmart香港服务器IP地址。我们可以在RAKsmart后台管理页面的服务器信息列表中查看到该IP地址。
然后使用前面设置的phpMyAdmin用户名和MySQL密码登录到Web界面,便可以开始管理数据库操作了。
H. phpmyadmin 错误
1.如图所示,错误提示无法连接到数据库,说明在配置文件中的账号和密码是错误的,需要修改;
