php执行路径漏洞,phpMyAdmin phpmyadmin.css.php完全路径泄露漏洞

最新推荐文章于 2022-11-22 16:15:58 发布
最新推荐文章于 2022-11-22 16:15:58 发布
阅读量206 收藏
点赞数
文章标签: php执行路径漏洞

发布日期:2011-10-17

更新日期:2011-10-18

受影响系统:

phpMyAdmin phpMyAdmin 3.4.5

描述:

--------------------------------------------------------------------------------

phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。

phpMyAdmin的phpmyadmin.css.php脚本实现上存在输入验证问题,远程攻击者可能利用此漏洞获取服务器相关的敏感信息。

phpmyadmin.css.php中的js_frame参数缺乏足够的输入验证,可被利用泄露信息。如果js_frame参数定义为数组,脚本会在返回的错误信息中包含完整路径。

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

建议:

--------------------------------------------------------------------------------

厂商补丁:

phpMyAdmin

----------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

0b1331709591d260c1c78e86d0c51c18.png

克莱登大学门卫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PhpMyAdmin漏洞介绍
weixin_45253622的博客
03-19 3338
获取网站绝对路径
phpMyAdmin phpmyadmin.css.php完全路径泄露漏洞
收集盒 Book box
12-13 1170
发布日期:2011-10-17 更新日期:2011-10-18 受影响系统: phpMyAdmin phpMyAdmin 3.4.5 描述: -------------------------------------------------------------------------------- phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 My
phpMyAdmin 完整路径泄露漏洞
weixin_30508241的博客
08-10 358
漏洞名称: phpMyAdmin 完整路径泄露漏洞 CNNVD编号: CNNVD-201307-650 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 中危 漏洞类型: 信息泄露 威胁类型: 远程 CVE编号: CVE-2013-4998 ...
PhpMyadmin利用源代码及root账号泄露漏洞秒获系统权限
weixin_44023460的博客
12-08 1571
Simeon Phpmyadmin是一款著名的mysql在线管理系统,通过提供的mysql数据库用户账号和密码对所管理的数据库实施各种操作。在渗透过程中,一旦获取其mysql账号和对应的密码,轻者获取其账号所管理数据库,重者可以配合其它漏洞获取webshell权限和系统权限。在前面的专题中,分别介绍了phpmyadmin网站真实路径信息获取、批量获取phpmyadmin信息、phpmyadmin ...
渗透测试-PhpMyAdmin后台文件包含漏洞
道阻且长,行则将至。
08-10 6293
漏洞背景 背景介绍 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。 实训目标 1、了解此漏洞形成的原因; 2、掌握此漏洞的利用方式。 解题方向 根据漏洞编号找到相关知识。 攻击过程 墨者学院在线靶机:http://219.153.49.228:49400/index.php 直接...
phpmyadmin config.inc.php配置示例
10-26
个config.inc.php文件为phpmyadmin的配置信息,下面有个已配置好的例子,大家可以参考下
php_phpMyAdmin v4.4.10.zip.zip
最新发布
09-25
phpMyAdmin支持多种功能,包括创建、删除和修改数据库表,执行SQL查询,管理用户权限,以及导入和导出数据等。 【phpMyAdmin v4.4.10版本特性】 phpMyAdmin v4.4.10是该软件的一个稳定版本,发布于2015年。这个...
基于PHP的mysql在线管理 phpMyAdmin For Windows.zip
07-22
phpMyAdmin是由PHP语言编写的,允许用户无需具备深厚的SQL知识就能执行常见的数据库管理任务,如创建、修改和删除数据库表,执行SQL查询,以及管理用户权限。 【描述】中提到的“基于PHP的mysql在线管理”指的是...
phpMyAdmin v4.6.5.2
12-03
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的资料库管理工具。phpMyAdmin 可以管理整个MySQL服务器(需要超级用户),也可以管理单个数据库。为了实现后一种,你将需要合理设置MySQL用户,...
基于PHP的mysql 在线管理程序 phpMyAdmin For Windows.zip
07-22
**phpMyAdmin** 是一个非常流行的开源工具,用于在Web环境中管理和操作MySQL数据库。它用PHP语言编写,允许用户通过浏览器界面执行各种数据库管理任务,包括创建、修改和删除数据库,处理表,运行SQL查询,管理用户...
phpMyAdmin 完整路径泄露漏洞2
weixin_30627381的博客
08-10 303
漏洞名称: phpMyAdmin 完整路径泄露漏洞 CNNVD编号: CNNVD-201307-651 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 中危 漏洞类型: 信息泄露 威胁类型: 远程 CVE编号: CVE-2013-4999 ...
服务器路径泄露漏洞
linhl_sdysit的博客
12-17 1942
tornado服务器路径泄露漏洞漏洞一般是由于目标web应用没有处理好应用错误信息导致的。如果攻击者获取到这些信息,可以了解目标服务器目录结构,并通过利用该信息,再配合其它漏洞对目标服务器实施进一步的攻击。 Traceback (most recent call last): File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 1590, in _execute result = method
Drupal核心路径泄露漏洞
Yatere的天平秤
06-17 1423
版本:Drupal Drupal 7.x http://localhost/?q[]=x ------------------------------------- Hotfix: Search for: $path = trim($path, '/'); And add the following line above: if(is_
相对路径和绝对路径错误造成的漏洞
weixin_33857679的博客
12-15 787
相对路径(Relative Path)指同一个目录的文件引用。 如果源文件和引用文件在同一个目录里,直接写引用文件名即可。 假设创建一个源文件index.php,在index.php里要引用main.php文件作为超链接。 假设index.php路径是:/var/www/wwwroot/php/index.php 假设main.php路径是:/var/www/wwwroot/php/mai...
PHP网站路径泄漏,WordPress出现的绝对路径泄露漏洞及修复方法
weixin_39863161的博客
03-19 452
现在很多朋友开始使用360网站卫士来检测网站漏洞,我刚刚尝试了一下,耗费时间大概需要50分钟,发现基于WordPress 的站点还是会检测出一些漏洞,虽然不知道这些漏洞是否是高危漏洞,而且由于本人对这块没有研究,不知道是否会影响网站的安全和运行,但是还是想完善这些检测出来的漏洞。只要检测出来的绝对路径漏洞,我们就可以相对这些文件来完善修复这些漏洞。下面我就针对自己的网站检测出来的漏洞来说说。漏洞...
文件绝对路径泄露
fansenliangren的博客
11-22 3537
在网站系统对用户提交的非法请求回复错误信息,或HTML、JaveScript等源码书写疏忽等情况下,易发生服务器系统某些文件的绝对路径泄露。通过制造报错使应用泄露出应用在主机中的绝对地址路径,攻击者可以通过泄露的绝对路径,分析网站结构,为后续上传恶意后门(如webshell等)创造了条件。
php漏洞详解,PHP漏洞全解(详细介绍)_PHP
weixin_39594296的博客
03-24 514
针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgeries, C...
[应用漏洞]遇到了phpMyAdmin,你该怎么办?
不忘初心,护天下安全!
07-29 746
参考:https://mp.weixin.qq.com/s/2iOyLM8GGs5t2pufoZhkLQ 一、phpMyAdmin phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些
PhpMyAdmin 网站路径信息获取
热门推荐
wodafa的博客
03-13 1万+
1.环境说明 本篇学习总结,主要以apache中间件为主要环境进行研究学习,其他中间件情况思路基本类似,这里不做具体展开说明。 2. 基本思路 2.1.思路说明 找网站的安装路径,其实就是通过“配置页面”或者“配置文件”找到Document Root 指向的网站路径位置,而Document Root最常见的地方就是 phpinfo.php页面和httpd.conf配置文件中;
PHP5入门教程:phpMyadmin2.8.2.4安装步骤详解
"这篇教程是关于PHP5的入门教学,特别关注phpMyadmin的安装步骤。教程由讲师刘林于2005年5月讲解,涵盖了PHP的基础知识,包括安装配置、数值类型、控制语句、面向对象、数据库操作、Cookie和Session、文件目录操作、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值