phpMyAdmin 通用密码漏洞

2019年9月23日11:46:44 评论 205

默认 phpMyAdmin:用户名 root、密码 root 或空登陆。
版本 2.11.3~2.11.4:用户名 'localhost'@'@" 登陆,无需密码。
版本 2.11.9.2:用户名 root 登陆,无需密码。
经测试,第二个漏洞在 phpMyAdmin 3.5.1 版本也是可行的。原理从略。
下面让我们简单的上网看看能不能找到一些存在这样漏洞的登陆页面。
祭出著名的漏洞搜索引擎 Shodan 并搜索 phpMyAdmin。
phpMyAdmin 通用密码漏洞

先看看有没有不需要密码登陆的,逐一尝试没有后寻找名字中包含的版本号。这里我找到一个国内的(浙江省·杭州市,地址已手动打码。
phpMyAdmin 通用密码漏洞
地址:http://121.*.*.219:80/
phpMyAdmin 通用密码漏洞
登陆成功(root 权限)...
phpMyAdmin 通用密码漏洞
接下来就可以留后门了,这里就不多说。。。。

http://www.oniont.cn/index.php/archives/225.html

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: