打造PHPmyadmin一体化工具【通过】

市面上对于PHPmyadmin爆破乃至插马的工具是少之又少!
于是我就写了个工具 集三大功能于一体 [扫描,爆破,插马]
我是用易语言写的,首先将界面弄好!


然后开始写代码,首先要实现的就是扫描ip的功能,这有很多的方法,如api实现等等

ip扫描实现了,就得让程序对扫描到的开放3306的ip进行爆破
写一个判断,将各种情况写进去!

爆破的账号密码运用了内置的常量,爆破时将其分割便可!
fe55974138948a818fce5969c696dcff
最后要实现的是插马的一个环节!
众所周知,PHPmyadmin拿shell,有很多方法,我这里使用利用数据库日志进行插马!
0b2c71924a7282d3aad1d4c368fe61af
然后将爆破登录成功时的cookie取过来,登录/phpmyadmin/server_variables.php
然后取到PHPmyadmin的绝对路径,

之后进行sql语句查询,这里用到post

然后再判断是否成功写入了shell,便ok了!
再附上运行截图:
优化皮肤,最后附上成品及源码:
PHPmyAdmin Tools V2.0.zip (1.2 MB)
PHPmyadmin tools V2.0源码.zip (5.0 MB)

1 Like

我弱弱的问一下,这个工具的实现,是先去扫3306的弱口令,然后再去80尝试登录phpmyadmin系统对吗?

这个工具的实现是先扫描ip是否开启了3306端口,然后再去80尝试登陆

很多情况下3306是对外不开放的。你可以把算法替换一下,先去80看有没有phpmyadmin,然后再去扫3306.这样是不是会更好一点呢?

嗯嗯,谢谢您的建议

我一直不知道你们是如何能够找到存在这么多phpmyadmin的服务器的ip段,若有招希望指点一二

很简单,找阿里云或者腾讯云的 IP 段
这类的基本上都用的是市场镜像
很多都有 phpmyadmin 的