phpMyAdmin 通用密码漏洞

OnionT@KillBoy 渗透测试评论9,2981字数 370阅读1分14秒阅读模式

默认 phpMyAdmin:用户名 root、密码 root 或空登陆。
版本 2.11.3~2.11.4:用户名 'localhost'@'@" 登陆,无需密码。
版本 2.11.9.2:用户名 root 登陆,无需密码。
经测试,第二个漏洞在 phpMyAdmin 3.5.1 版本也是可行的。原理从略。
下面让我们简单的上网看看能不能找到一些存在这样漏洞的登陆页面。
祭出著名的漏洞搜索引擎 Shodan 并搜索 phpMyAdmin。
phpMyAdmin 通用密码漏洞

先看看有没有不需要密码登陆的,逐一尝试没有后寻找名字中包含的版本号。这里我找到一个国内的(浙江省·杭州市,地址已手动打码。
phpMyAdmin 通用密码漏洞
地址:http://121.*.*.219:80/
phpMyAdmin 通用密码漏洞
登陆成功(root 权限)...
phpMyAdmin 通用密码漏洞
接下来就可以留后门了,这里就不多说。。。。

http://www.oniont.cn/index.php/archives/225.html

免责声明:本站某些文章、信息、图片、软件等来源于互联网,由本网整理发表,希望传递更多信息和学习之目的,并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题,请立即联系管理员,我们会给予更改或删除相关文章,保证您的权利。
高性能云服务器2折起
 
OnionT@KillBoy
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: