phpadmin下载(phpadmin下载)

一、使用kali Hydra暴力破解phpadmin网站(失败)

一个没有保护措施的phpadmin后台。

在github上找到字典，或者使用kali自带字典

用burp抓包后找到url和错误信息，按照hydra的语法写下语句

有一个困扰了很久的点是，最开始的一遍扫描成功不了，原因是只写了ip没有改端口。导致其实一直在扫一个404页面。

-s选项可以更改端口。

最终命令：

hydra-L Top20_Admin_Users.txt-P FastPwds.txt-V-t 4-e ns-f-s 88 xx.xx.xx.xx http-post-form"/xxx:xxx=^USER^&xxx=^PASS^&server=1&token=2bbde9ea85a0ac2da88dd37a84c63d57:#1045 Cannot log in to the MySQL server"

很奇怪的是每一个测试都成功了，使用代理后检测才发现发出去的request很奇怪导致获取不了正确的包。

改用burpsuite，在参考别人文章后安装破解版burpsuite，发现这个东西用来web攻击很好用。

phpmyadmin有一个防御机制，发送第一个包到后台后，会重新发送一个get请求，在cookie里面带上加密的username和password。解决方法没找到。最终破解失败。

有任何问题可以私信我。

二、如何配置phpadmin

phpadmin就是一个产品，用于管理mysql数据库的，毕竟很多数据库服务器不能够公开连接，所以只能够使用http的方式来进行连接管理。

下载phpadmin( )解压到apache能够访问的一个目录中（首先apache和php已经集成好了，能够浏览php页面）。运行访问index.php会出现一些提示情况。如果你的mysql安全设置不错的话，可能默认情况下是不能够连接到你的服务器的，需要修改一些配置信息。

修改phpadmin/config.inc.php文件，其中主要是对mysql连接方式，连接路径以及用户名密码的设置。

修改如下：

$cfg['PmaAbsoluteUri']=';;

$cfg['PmaAbsoluteUri_DisableWarning']= TRUE;

$cfg['blowfish_secret']='admin';

$cfg['Servers'][$i]['port']='';// MySQL port- leave blank for default port

$cfg['Servers'][$i]['socket']='';// Path to the socket- leave blank for default socket

$cfg['Servers'][$i]['connect_type']='tcp';// How to connect to MySQL server('tcp' or'socket')

$cfg['Servers'][$i]['extension']='mysql';// The php MySQL extension to use('mysql' or'mysqli')

$cfg['Servers'][$i]['compress']= FALSE;// Use compressed protocol for the MySQL connection

//(requires PHP>= 4.3.0)

$cfg['Servers'][$i]['controluser']='';// MySQL control user settings

//(this user must have read-only

$cfg['Servers'][$i]['controlpass']='';// access to the"mysql/user"

// and"mysql/db" tables).

// The controluser is also

// used for all relational

// features(pmadb)

$cfg['Servers'][$i]['auth_type']='cookie';// Authentication method(config, http or cookie based)?

$cfg['Servers'][$i]['user']='';// MySQL user

$cfg['Servers'][$i]['password']='';// MySQL password(only needed其中比较重要的几个参数意义：

'PmaAbsoluteUri' phpadmin的全路径，如果在apache中设定了一个alias的话就使用这个了

'PmaAbsoluteUri_DisableWarning'这个好像是用于取消警告的，经常安装好了在访问的页面上面会出现一些红色字体的警告（安全等等），如果设置成为true就不出现了

'blowfish_secret'这个是如果授权方式设置成为cookie的话就会使用这个来进行加密存入到cookie中的用户名和密码

'auth_type'用于设置登陆方式，config是直接从这个文件中获取user/password然后连接数据库，http则是在客户端访问的时候会弹出一个输入用户名密码的框进行认证处理 cookie则是通过页面输入用户名密码进行连接。其中config的安全等级最低，cookie的等级最高，不过如果禁用了cookie则无法使用cookie的方式进行认证。

通常设置成为cookie的方式以后要在apache的httpd.conf文件中修改对应的配置：

#added for phpmyadmin

Alias/phpadmin/"website/phpMyAdmin-2.6.1-rc2/"

#php_admin_flag engine on

#php_admin_flag safe_mode off DirectoryIndex index.php

Options Indexes MultiViews

AllowOverride None

Order allow,deny

Allow from all

#php_admin_flag engine on

#php_admin_flag safe_mode off

#php_admin_value open_basedir none

#php_admin_value open_basedir"website/phpMyAdmin-2.6.1-rc2/"当然主要是设置访问权限和别名 MyPHP/Apache2.2/htdocs">

AllowOverride None

Order allow,deny

Allow from all

Alias/phpmyadmin"D:/MyPHP/Apache2.2/htdocs"

三、phpadmin里面的用户手贱全给删除了怎么恢复急!

如何让administrator帐户出现在登陆画面？

安装Windows XP时，如果设置了一个管理员账户，那么系统内置没有密码保护的Administrator管理员账户是不会出现在用户登录列表中的。虽然它身在幕后，可却拥有系统最高权限，为了方便操作及保证系统安全，可以先给它设置密码，然后再把它请到台前来。以下便介绍具体方法。

1.使用“传统登录提示”登录

启动系统到欢迎屏幕时，按两次“Ctrl+Alt+Delete”组合键，在出现的登录框中输入Administrator账户的用户名和密码即可。也可以单击“开始→控制面板”，双击“用户账号”图标，在弹出的“用户账号”窗口中，单击“更改用户登录或注销的方式”，去掉“使用欢迎屏幕”前的复选框，单击“应用选项”即可在启动时直接输入Administrator账户名及密码登录。

2.在登录的欢迎屏幕显示Administrator账户

单击“开始→运行”，输入regedit后回车，打开注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList”分支，将右边的Administrator的值改为1，即可让Administrator账户出现在登录的欢迎屏幕上。

3.自动登录到Administrator账户

单击“开始→运行”，输入control userpasswords2后回车，在打开的“用户账户”窗口去掉“要使用本机，用户必须输入密码”前的复选框，按“应用”后，在弹出的“自动登录”窗口中输入Administrator账户密码(如图1)，按两次“确定”即可。注意：如果原来就设置了其它账户自动登录，应该先选中“要使用本机，用户必须输入密码”前的复选框，按“应用”后再去掉选中的复选框。也可以修改注册表实现自动登录，不过没有以上方法方便。

当然，如果不需要Administrator账户，可以依次打开“开始→控制面板→管理工具→计算机管理”，在“计算机管理”窗口，展开“系统工具→本地用户和组→用户”，在“用户”右边窗口双击Administrator账户，在弹出的“属性”窗口中选中“账号已停用”前的复选框(如图2)，按“确定”即可停用Administrator账户。