[GWCTF 2019]我有一个数据库(cve-2018-12613漏洞)

最新推荐文章于 2022-04-23 19:12:42 发布
最新推荐文章于 2022-04-23 19:12:42 发布
阅读量139 收藏
点赞数
分类专栏: CTF题目(web) 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52907838/article/details/117477530
版权

环境打开,没有其他东西,只有几个字:
在这里插入图片描述

用工具扫描(dirsearch等),发现了phpmyadmin页面,访问:

phpMyAdmin是一种MySQL数据库的管理工具,安装该工具后,即可通过Web形式直接管理MySQL数据,而不需要通过执行系统命令来管理,非常适合对数据库操作命令不熟悉的数据库管理者。原来是数据库,但是问题出在哪呢?
就在php的版本,此数据库php版本为4.8.1,经过查找资料,此版本php存在一个远程文件包含漏洞,编号:cve-2018-12613
以下是造成该漏洞的源码:

$target_blacklist = array (
    'import.php', 'export.php'
);
// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])  //传入不能为空
    && is_string($_REQUEST['target'])  //必须是一个字符串
    && ! preg_match('/^index/', $_REQUEST['target'])  //不能以index开头
    //黑名单判断。在index.php中已经定义好了target_blacklist的值,只要不等于import.php和export.php这两个值就可以。
    && ! in_array($_REQUEST['target'], $target_blacklist)  //不能在数组target_blacklist中
    && Core::checkPageValidity($_REQUEST['target'])  //checkPageValidit检查后为真
) {
    include $_REQUEST['target'];
    exit;
}

代码含义:
要包含成功需满足:
1、target不为空
2、target要为字符
3、不能以index开头,即过滤了index
4、不能等于黑名单中的值,即import.php和export.php
5、 Core类的checkPageValidity方法判断后要为真
下面是checkPageValidity:

public static function checkPageValidity(&$page, array $whitelist = [])//传入target,whitelist为默认形参,也就是空的数组。
    {    
        if (empty($whitelist)) {
            // 白名单
            $whitelist = self::$goto_whitelist;//$whitelist在函数被调用的时候,没有值去引用$goto_whitelist的内容,$goto_whitelist的内容下面列出
        }
        if (! isset($page) || !is_string($page)) {
            //如果$page没有定义或$page不为字符串时 返回false
            return false;
        }

        if (in_array($page, $whitelist)) { // in_array():搜索数组中是否存在指定的值
            return true;
        }//第一次判断,$page存在$whitelist中的值就返回true

        $_page = mb_substr( //mb_substr():返回字符串的一部分,有四个参数,第四个参数是编码可以不要,第一个参数是被截取的字符串,第二个是开始截取的位置,第三个是截取的长度。
            $page,
            0,
            mb_strpos($page . '?', '?'); //mb_strpos函数是 查找字符串在另一个字符串中首次出现的位置,并把其当作截取的长度。
//所以这个函数总体是返回从开始到问号之间的字符串
//第一次截取
        if (in_array($_page, $whitelist)) {
           
            return true;
        }    //截取后第二次判断

        $_page = urldecode($page);//urldecode():解码已编码的URL
        $_page = mb_substr(//返回从开始到问号之间的字符串
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        } 经过urldecode函数解码和再次截取后第三次次判断,$_page存在$whitelist中的value返回true

        return false;
    }

goto_whitelist的代码:

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
        'db_importdocsql.php',
        'db_multi_table_query.php',
        'db_structure.php',
        'db_import.php',
        'db_operations.php',
        'db_search.php',
        'db_routines.php',
        'export.php',
        'import.php',
        'index.php',
        'pdf_pages.php',
        'pdf_schema.php',
        'server_binlog.php',
        'server_collations.php',
        'server_databases.php',
        'server_engines.php',
        'server_export.php',
        'server_import.php',
        'server_privileges.php',
        'server_sql.php',
        'server_status.php',
        'server_status_advisor.php',
        'server_status_monitor.php',
        'server_status_queries.php',
        'server_status_variables.php',
        'server_variables.php',
        'sql.php',
        'tbl_addfield.php',
        'tbl_change.php',
        'tbl_create.php',
        'tbl_import.php',
        'tbl_indexes.php',
        'tbl_sql.php',
        'tbl_export.php',
        'tbl_operations.php',
        'tbl_structure.php',
        'tbl_relation.php',
        'tbl_replace.php',
        'tbl_row_action.php',
        'tbl_select.php',
        'tbl_zoom_select.php',
        'transformation_overview.php',
        'transformation_wrapper.php',
        'user_password.php',
);

就了解了Core类的checkPageValidity方法判断,但这个urldecode函数存在问题, 服务器在接收到URL请求连接后就会自动对URL进行一次解码,若我们传入一个goto_whitelist中的二次编码过的db_datadict.php%253f,服务器第一次解码后为 db_datadict.php%3f,又一次url解码后变成了“db_datadict.php?”,这时符合了?前内容在白名单的要求,函数返回true。就绕过了这个函数的检测,但在index.php中只做过一次解码REQUEST包含的仍然是“db_datadict.php%3f, 但是呢,并不存在这个文件,是不能包含进去的, 要包含的文件不存在时,include产生一个警告(Warning),该语句后面的程序会继续执行;而 require则导致一个致命错误(Fatal error),程序就此终止。既然include会继续执行,那么他应该把db_datadict.php%3f当成了一个不存在的目录,在进行目录遍历,就造成了文件包含漏洞. 但这道题我尝试输入 db_datadict.php%3f和db_datadict.php?都是可以得到flag的,所以这道题只要能绕过白名单的检测就可以。

接着就是找答案了,可在根目录下看:/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../flag

也可以通过在数据库中写入木马文件,获得flag:
查看当前数据库的路径:
show variables like ‘datadir’

Kevin_xiao~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[GWCTF 2019]我有一个数据库
SopRomeo的博客
04-15 3077
进去一堆乱码,扫下目录 御剑扫到了robots.txt,有个phpinfo dirsearch 扫到了 进去phpmyadmin看看 竟然可以直接进去,根本不需要登录 但是里面并没有一些我们想要的信息,看看他的版本 百度搜搜这个版本对应的漏洞 参考文献1 参考文献2 可以发现在index.php里 include $_REQUEST['target']; include这个函数,很可能存在...
[GWCTF 2019]我有一个数据库 1
qq_43618536的博客
07-21 675
[GWCTF 2019]我有一个数据库 1
[GWCTF 2019]我有一个数据库 wp
m0_55185160的博客
04-23 4371
得到了/phpmyadmin/路径,加上题目是我有一个数据库,于是想到应该本题就是和phpmyadmin数据库有关 我们可以看到phpmyadmin的版本为4.8.1,搜索后发现这个版本的phpmyadmin存在漏洞CVE-2018-12613,下面我们复现一下漏洞。 首先分析一下源码: index.php 关于target的部分 $target_blacklist = array ( 'imp..
BUUCTF [GWCTF 2019] 我有一个数据库
Senimo
12-11 2207
BUUCTF [GWCTF 2019] 我有一个数据库 考点: 目录扫描 phpmyadmin 4.8.1 远程文件包含漏洞CVE-2018-12613) 启动环境: 应该是为乱码,结合题目名,应该与数据库有关,寻找提示无果,使用dirsearch扫描后台: 扫描到如上页面,查看robots.txt: 查看phpinfo页面: dirsearch还扫描到存在phpmyadmin数据库管理页面,尝试访问: http://xxx/phpmyadmin/index.php 成功访问到: 查
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能导致中间人攻击。在某些配置下,攻击者可能诱使客户端接受较弱的密钥交换算法,从而削弱通信的安全性。 2. CVE-2018-15473:这个漏洞涉及到...
CVE-2018-18778.docx
07-23
CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞,它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于URL解析的不当处理,导致了对绝对路径的不正确解释,从而...
OpenSSH 用户名枚举漏洞CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
CVE-2018-3191利用exp
01-08
标题"CVE-2018-3191利用exp"涉及的是一个针对WebLogic服务器的安全漏洞,该漏洞被命名为CVE-2018-3191。这个漏洞是由于WebLogic服务器中Spring框架的一个组件处理JNDI(Java Naming and Directory Interface)注入...
weblogic10.36 CVE-2018-2893补丁文件
08-02
WebLogic(CVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),因该漏洞修补不善导致被绕过。...
[代码审计][HCTF 2018]WarmUp与CVE-2018-12613
Y4tacker的博客
08-05 5859
文章目录前言WPCVE-2018-12613 前言 在request请求当中就会被url解码一次,这就是接下来为什么会需要两次编码绕过 WP 打开靶机看到一个滑稽图片,审查元素发现有个source.php 访问发现需要我们进行代码审计,下面对代码进行分析 highlight_file(__FILE__); class emmm { public static function checkFile(&$page) {
高危预警 | Windows内核提权漏洞(CVE-2018-1038)
weixin_33883178的博客
04-02 393
2018年3月30日,阿里云云盾应急响应中心监测到微软官方发布Windows7 x64 和 Windows Server 2008 R2安全补丁(CVE-2018-1038),解决用户在2018年1月-3月期间因安装微软安全补丁而导致系统存在高危内核提权漏洞的问题。 阿里云云平台自身不受此漏洞影响,阿里云云盾应急响应中心建议您尽快开展自查工作并根据厂商...
CVE-2018-12613Phpmyadmin后台 任意文件包含漏洞复现
Mikasa
03-16 4451
PHPmyadmin后台文件包含漏洞 环境搭建:因为是新手,完全没有经验。。。弄了好长时间。。一开始想在本机搭建环境,于是上网上下载了一个phpmyadmin,然后下载一个phpMyAdmin-4.8.1实验,但是出现语法错误(心态炸了)。。。。 然后只能够下一个版本低的试试,于是下载了一个2016的phpstudy,然后就想放虚拟机(2003)试试,然后又炸了,因为这个版本的phpstudy需要...
[漏洞复现]CVE-2018-12613(远程文件包含)
volcano的博客
03-13 1287
受影响版本 phpMyAdmin 4.8.0和4.8.1 环境 https://github.com/vulhub/vulhub/tree/master/phpmyadmin/CVE-2018-12613 下载源码后,可以配合phpstudy在本地搭建环境,我这里直接在BUUOJ里现有的环境做的 漏洞分析 在这段代码中,连着有五个if判断语句 if (! empty($_REQUEST['target']) #target参数不能为空 && is_string($_REQUEST
SUMAP网络空间测绘|2021年CVE漏洞趋势安全分析报告
zizi_xixi的博客
12-14 908
SUMAP网络空间测绘|2021年CVE漏洞趋势安全分析报告 前 言 面对高速发展的今天,互联网成为了联结所有人信息的交汇点,同样对于互联网中的漏洞也在不断的迭代更新。 传统的网络安全大多面向局部安全,未曾考虑整体全网环境下的网络安全,这样也造成了近年来攻击者频繁面向全网展开攻击。数亿的物联网设备安全问题被大范围的暴露出来。同时攻击者在面向全网攻击,既包括传统攻击方式WEB攻击、缓冲区溢出攻击、数据库攻击,也涵盖了新型攻击——重点针对物联网设备和工控设备层面的攻击,现阶段也越发的频繁。 对于今天的互联网安
OpenSSH 用户枚举漏洞(CVE-2018-15919)
雷电一号
07-02 8442
最近被用绿盟工具检查了实验室的机器,发现不少漏洞。平时实验室因为无法外网访问所以是不在乎。但既然查出来就处理一下。 消除方法,升级openssh到7.8以上。 现在版本: midc@phab:~$ ssh -V OpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017 去官网找下载:http://www.openssh.com/portable.htmlhttps://openbsd.hk/pub/OpenBSD/OpenSSH/por.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kevin_xiao~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值