文章目录
—0x00 漏洞介绍—
2018年6月19日,phpmyadmin在最新版本修复漏洞。phpMyAdmin 是一个以PHP为
基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可
用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改
、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。
—0x01漏洞原理—
在phpMyAdmin 4.8.1版本的index.php文件中,第50-63行代码如下:
第四个判断是黑名单判断。在index.php中已经定义好了target_blacklist的值,它们是import.php和export.phpÿ