【首发】phpmyadmin4.8.1后台getshell


发布人:帽子戏法分类:漏洞播报浏览量:753发布时间:2018-06-23

官网下载的最新版,文件名是phpMyAdmin-4.8.1-all-languages.zip

 

问题就出现在了 /index.php

找到55~63行

第61行出现了 include $_REQUEST['target'];

很明显这是LFI的前兆,我们只要绕过55~59的限制就行

第57行限制 target 参数不能以index开头

第58行限制 target 参数不能出现在 $target_blacklist 内

找到 $target_blacklist 的定义:

就在 /index.php 的第50行

只要 target 参数不是 import.php 或 export.php 就行,最后一个限制是Core::checkPageValidity($_REQUEST['target'])

找到Core类的checkPageValidity方法:

定义在了 \libraries\classes\core.php 的第443行

问题出现在了第 465 行的 urldecode()

我们可以利用这个函数绕过白名单检测!

我把 ? 两次url编码为 %253f 即可绕过验证!

 

Payload:

  1. http://127.0.0.1/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../windows/wininit.ini

本以为漏洞到这就结束了,因为我没有找到phpmyadmin可以进行文件操作来实现Getshell的地方,过了好几周后突发灵感,想到了一个不用写文件也能拿Shell的方法。

我们都知道,登入phpmyadmin后,数据库就是完全可以控制的了,那我们是否可以把WebShell写入到数据库中然后包含数据库文件?

本地测试了一下,发现如果把WebShell当做数据表的字段值是可以完美的写入到数据库文件当中的:

找到对应的数据库文件:

包含之:

Payload:

  1. http://127.0.0.1/phpmyadmin/index.php?a=phpinfo();&target=db_sql.php%253f/../../../../../../phpStudy/PHPTutorial/MySQL/data/hack/hack.frm


( •̀ ω •́ )✧ChaMd5安全招聘

联想安全实验室

高级安全研究员

http://www.chamd5.org/jobdetail.aspx?id=500

安全技术专家

http://www.chamd5.org/jobdetail.aspx?id=499

好未来教育集团

高级安全渗透工程师

http://www.chamd5.org/jobdetail.aspx?id=497

360企业安全

360企业安全高级攻防部

http://www.chamd5.org/jobdetail.aspx?id=498

WiFi万能钥匙安全应急响应中心

安卓逆向研究员

http://www.chamd5.org/jobdetail.aspx?id=501

ios研究员

http://www.chamd5.org/jobdetail.aspx?id=502

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

帽子戏法  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:15662787(PV) 页面执行时间:59.4(MS)