mysql cve6_phpMyAdmin SQL注入漏洞(CVE-2016-5703)分析

最新推荐文章于 2023-02-20 21:38:48 发布
最新推荐文章于 2023-02-20 21:38:48 发布
阅读量211 收藏
点赞数
文章标签: mysql cve6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30498015/article/details/113590615
版权

0x00.影响版本

Version 4.6.x (<4.6.3)

Version 4.4.x (<4.4.15.7)

0x01.漏洞描述

phpMyAdmin是一个web端通用MySQL管理工具,上述版本在central_columns.lib.php文件里的db参数存在sql注入漏洞,攻击者利用此漏洞可以获取数据库中敏感信息,甚至可以执行任意命令

0x02.测试环境

Windows7(X64)+PHP5.5.12+Apache/2.4.9+phpMyAdmin4.6.2

0x03.漏洞详情

从官方的补丁ef6c66dca1b0cb0a1a482477938cfc859d2baee3来看,其对libraries\central_columns.lib.php中某几个function中的$db参数进行了转义,由此我们可以初步判定注入点就出现在这几个函数的$db参数处 ;

97995be3cf3a0f9a4b0921f5c68f7b03.png

我们全局搜索一下引入了central_columns.lib.php的文件

43968ec2f65a6ea53fc2f7fd0604115f.png

总共四个文件包含了central_columns.lib.php,其中三个文件为库函数文件,因此最直接与用户交互的文件还是db_central_columns.php

我们来到db_central_columns.php,搜索一下打补丁的几个函数:

PMA_deleteColumnsFromList出现在大约89行

PMA_getColumnsList出现在大约135行

PMA_getCentralColumnsCount出现在大约94行

PMA_getCentralColumnsListRaw出现在大约49行

我们应该尽量选择不需要满足过多if条件语句以及位置尽量靠前的不危险函数分析,跟进PMA_getCentralColumnsCount函数:

8b885f5325a865a941ec13a65b0554cb.png

我们能在函数91行之前打印出任意字符串,而在if语句之后无法打印出字符串,我们看到函数93~95行出现了if语句判断,因此我们跟进if语句if(empty($cfgCentralColumns)),其中$cfgCentralColumns是从PMA_centralColumnsGetParams获取到的,继续跟进PMA_centralColumnsGetParams函数:

该函数同样在central_columns.lib.php文件里大约17行

2c2f059fd5cd6e6cc9f1de04766b545c.png

我们在25行之后打印一下$cfgRelation变量

7f378517262c661f850075019881031f.png

根据接下来的if语句,我们需要使得$cfgRelation['centralcolumnswork']不为false,才能使程序完整执行下去,那么$cfgRelation['centralcolumnswork']是个什么变量呢?

跟进函数PMA_getRelationsParam(在libraries\relation.lib.php大约61行)

5ed853c8071bb110613da7745a2c57d1.png

继续跟进函数PMA_checkRelationsParam(在libraries\relation.lib.php大约451行)

27e68b6b5139c864433e8040ec9970bf.png

我们可以看到,我们需要的变量在这个foreach语句中被定义成了false,我们继续向下跟进,从大约563行起,出现了如下语句:

87f07e951bf4798f1451a9b696112228.png

官方文档http://docs.phpmyadmin.net/zh_CN/latest/config.html,我们可以知道PMA_checkRelationsParam函数的作用就是检查用户是否自定义了配置文件,只有用户自定义了配置文件,我们需要的$cfgRelation['centralcolumnswork']才能为True

那么,如何自定义配置文件呢?

我们知道,phpMyAdmin在没有自定义配置文件时会默认加载libraries\config.default.php中的配置;要自定义配置文件,我们只需要在phpMyAdmin根目录将config.sample.inc.php文件copy为config.inc.php,并将41~44/47~68行取消注释,43以及44行改为MySQL用户(需要与攻击时phpMyAdmin的登录用户一致):

c97d78c759cf248b3129ffdc49c73dd0.png

然后创建一个名为phpmyadmin的数据库,选中该数据库然后点击导航栏“操作”,根据页面错误提示即可自动创建phpMyAdmin自身的数据库

接下来回到central_columns.lib.php文件PMA_centralColumnsGetParams函数中,

我们在与之前同样的位置打印一下$cfgCentralColumns变量,我们发现页面已经能让你能够dump出数据了,说明程序已经能够向下执行,$cfgRelation['centralcolumnswork']变量为True

8a978f71729a67beba071ce4d1d38cf1.png

接下来我们到存在漏洞的函数PMA_getCentralColumnsCount中打印查询语句以及结果集:

0fed491e701ce0c3d959336ea79aba9e.png

我们发现打印在页面上的sql语句存在很典型的注入类型,如下图所示:

da5b06e1dbf60b66e886484b2a3c9411.png

最后需要明确的一个问题,central_columns是什么?

我们知道之前我们创建的数据库phpmyadmin存在一个数据表pma_central_columns,而任意一个数据表的任何字段都可以添加进入pma_central_columns,在创建新的表或者添加字段时就能从此表中直接选取插入,所以我们能看出central_columns是作为储存一些关键字段,以方便添加外键时使用。

0x04.漏洞修复

1.使用Utils::sqlAddSlashes函数对libraries\central_columns.lib.php的$db参数转义,

或者升级phpMyAdmin Version4.6至4.6.3,Version4.4 升级至4.4.15.7以修复此漏洞

0x05.漏洞总结

phpMyAdmin本身作为数据库管理工具,登录后的注入显得相当鸡肋,最近的无需登录漏洞也是出在2.8.3左右版本。而从出现漏洞的文件来看,同一个文件仅仅部分函数进行了转义防护,这也可以看出开发人员在修复漏洞时“指哪修哪”,而最近以色列安全研究人员@e3amn2l提交的近20个漏洞中也出现了相似的未转义引起的漏洞,更加印证了这一点。

因此我认为安全从业人员在接收到安全漏洞时,应该首先构思最优的安全修复指南,而不是直接交给开发人员进行修复,多一个流程也可尽量避免在同一个地方重复跌倒。

0x06.参考资料

http://smita786.blogspot.com/2014/06/gsoc14-coding-week-3-using-central-list.html

2016年phpMyAdmin漏洞统计

02061c736f6b9f11404e585069690323.png

无言讲编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞CVE 2012-2122复现——Mysql身份验证绕过
人若有志,就不会在半坡停止。
08-25 1018
漏洞CVE 2012-2122复现——Mysql身份验证绕过
cve-mysql
最新发布
weixin_41410744的博客
08-07 172
任意点击其中一个链接可查看该漏洞清单详情,可以在新弹出的页面搜索MySQL找到MySQL相关的漏洞信息(也可搜索其他数据库或应用的漏洞情况)进入Oracle漏洞披露网站后,找到Critical Patch Update页面表格可以看到最近5年的漏洞列表情况。再次点击该标题下的超链接,跳转到当前已存在的所有的漏洞清单列表中(漏洞较大,加载会较慢)漏洞披露一般为1年4次,也就是一季度一次,分别在每年的1月,4月,7月及10月。待加载完毕后使用搜索功能即可搜索到对应的漏洞信息,并点开查看漏洞详情。
应用CVE: 最新的Mysql高危漏洞介绍
dzqxwzoe的博客
02-20 937
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。影响5.6.38及之前的版本,5.7.19及之前的版本。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
最全phpmyadmin漏洞汇总
热门推荐
kracer的博客
12-04 3万+
目录 一、phpMyAdmin简介 二、查看phpmyadmin版本 三、历史漏洞及poc利用 1、万能密码直接登入 2、CVE-2009-1151:远程代码执行 3、CVE-2012-5159:任意PHP代码攻击 4、CVE-2013-3238:远程PHP代码执行 5、WooYun-2016-199433:任意文件读取漏洞 6、CVE-2014 -8959:本地文件包含 7、CVE-2016-5734 :后台命令执行RCE 8、CVE-2017-1000499 跨站请求伪造 9、C
sql注入系统命令 linux,phpMyAdmin SQL注入漏洞(CVE-2016-5703)
weixin_29053067的博客
05-16 218
phpMyAdmin SQL注入漏洞(CVE-2016-5703)发布日期:2016-06-22更新日期:2016-06-24受影响系统:phpMyAdmin phpMyAdmin 4.6.xphpMyAdmin phpMyAdmin 4.4.x描述:CVE(CAN) ID: CVE-2016-5703phpmyadminMySQL数据库的在线管理工具。phpmyadmin 4.6.x、4.4....
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
Phpmyadmin后台代码执行CVE-2016-5734_poc CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
cpx_proftpd:漏洞利用工具 CVE-2015-3306
06-11
Daniel Aldana 针对漏洞利用的 PoC。 Vadim Melihow 报告的错误。 ###方法1: 用法: python cpx_proftp.py <IP> <REMOTE> 前任: python cpx_proftp.py 127.0.0.1 /etc/passwd /var/www/pass.txt 然后尝试...
MySql身份认证绕过漏洞(CVE-2012-2122)
dgjkkhcf的博客
07-24 4664
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。.........
国内首个CVE认证国际数据库漏洞发布
weixin_34220179的博客
11-12 598
国内首个CVE认证国际数据库漏洞发布2017-07-24 14:42 it168网站原创  作者: 厂商投稿 编辑: 高博   【IT168资讯】日前,来自国内的首个国际数据库安全漏洞获得CVE认证,并得到数据库厂商确认,此漏洞由安华金和数据库安全***实验室发现并提交,编号:CVE-2017-1310。该漏洞存在于国际数据库品牌Informix数据库中,属...
PhpMyadminSQL注入(CVE-2020-0554)复现
锋刃科技的博客
09-16 1922
简介 phpMyAdmin一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。 影响版本 phpMyAdmin 4 < 4.9.4 phpMyAdmin 5 < 5.0.1 环境搭建 为了方便做事,这里我直接用把phpmyadmin文件拖入刀集成环境中 下载地址 https://files.phpmyadmin.net/phpMyAdmin/5.0.0/phpMyAdm...
阿里云服务器漏洞phpmyadmin CVE-2016-6617 SQL注入漏洞 解决方法
cc1314_工作、学习有感
09-02 3463
阿里云服务器漏洞phpmyadmin CVE-2016-6617如下图: 首先上网搜了下 漏洞phpmyadmin CVE-2016-6617,有人这样回答的  于是又开始搜phpmyadmin的升级方法,参考http://jingyan.baidu.com/article/6b97984d9802f21ca3b0bf53.html 一、登录自己的phpmyadmin
阿里云服务器漏洞phpmyadmin CVE-2016-6617解决方法
自古红蓝出CP的博客
07-04 4039
phpmyadmin CVE-2016-6617
MySQL高危代码执行0Day漏洞及修复方案
10-21 1417
漏洞描述: 漏洞编号:CVE-2016-6662与CVE-2016-6663,攻击者可以远程和本地利用漏洞ROOT权限执行代码,完全控制MySQL数据库。攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。 影响版本:<=5.7.15 漏洞等级:高危 修复建议: 1、0Day漏洞暂无厂商修复方案。临时缓解方案:确保MySQL配置文件不在mysql用户手中,并建立root权限、不使...
phpmyadmin(CVE-2018-12613)漏洞利用
hhiollk的博客
04-01 1388
1、漏洞描述 攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。 攻击者必须经过身份验证,但在这些情况下除外: $ cfg ['AllowArbitraryServer'] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码; $ cfg ...
phpmyadmin漏洞_雷神众测漏洞周报 2020.01.202020.02.02(9)
weixin_39644915的博客
12-05 98
声明以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。目录1.MetInfo存在文件上传漏洞2. Micros...
一个PHP+Mysql手工注入例子
Praifire的博客
07-16 1万+
说下我的基本思路: 1、目标站点环境为:Windows+Apache+Mysql+PHP 2、存在SQL注入,能否直接写一句话木马 3、存在SQL注入,获取数据库中用户口令,登录应用系统后上传webshell 4、获取数据库口令登录phpMyAdimin,用phpMyAdmin写入一句话木马 不想因为使用扫描工具的缘故,导致服务器出现不稳定的现象,所以就纯手工咯。 下面具体来说明下
Apache Spark 命令注入(CVE-2022-33891)格式化文档
08-10
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值