最新消息:欢迎大家关注安全工具箱微信公众号,域名信息查询,微信搜索安全工具箱添加关注即可,或访问在线安全工具箱

phpmyadmin 某版本任意文件包含漏洞(无需登录)分析

WEB安全 range 6235浏览 0评论

漏洞来源于路人甲在wooyun提交的漏洞

存在漏洞的已知版本为 2.8.0.3,2.11及以上版本已修复

漏洞文件代码/scripts/setup.php:

12

把传入的configuration给反序列化,而这个setup.php中引入了common.lib.php

来到common.lib.php:

13

common.lib.php中引入了Config.class.php

再看看Config.class.php:

14

继续看load方法:

15

Config.class.php中含有__wakeup魔术方法,因此可以构造序列化参数,造成反序列化漏洞

所以整个思路就是:

setup.php->common.lib.php->Config.class.php->__wakeup()->load()->eval();

POC:

url:

http://localhost/phpmyadmin/scripts/setup.php

post data:

configuration=O:10:”PMA_Config”:1:{s:6:”source”;s:11:”/etc/passwd”;}&action=test

mac下测试:

16

windows下测试:

17

PHP版POC(用法如win图中所示):

phpmyadin.php

GETSHELL:

但是经过分析这个漏洞php文件的,因为有了,相当于任意文件包含了,不过另一方面这也是有好处的,如果能写入文件,文件中包含一个一句话就可以直接getshell了。作者给的方式是用error log。

根据作者的方法,使用默认环境,才发现稍微有点鸡肋。不仅要获得errorlog路径,在ubuntu下,一般是不允许用root权限运行,实际测试中,是无法读取access.log的,所以getshell就比较困难。在windows下,由于几乎所有的浏览器和python模块都会很“自觉地”将特殊字符编码进行转换”,getshell就更难了,所以只能用socket去构造shell。

18

Access log中就出现了shell了。

19

再用任意文件包含漏洞去包含,就可以拿到shell了。

20

 

转载请注明:安全工具箱 » phpmyadmin 某版本任意文件包含漏洞(无需登录)分析

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址