IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> phpMyAdmin另一种getshell姿势(CVE-2018-12613) -> 正文阅读

[PHP知识库]phpMyAdmin另一种getshell姿势(CVE-2018-12613)

我知道phpmyadmin的getshell大概有日志写马和select into outfile两种姿势,最近又新学了一种getshell姿势,赶紧记录一下

思路大概就是我们执行的sql语句会被记录到你的session文件中去,那我们就可以写马到自己的session文件,然后利用远程文件包含漏洞(CVE-2018-12613),导致可以getshell

漏洞复现

环境:
phpmyadmin4.8.1
php 7.2.5

登入后查询select “<?php phpinfo();?>”;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-687qbR7u-1650177646862)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417133834856.png)]

这个查询语句会记录到我们的session文件中去

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cCalcJqp-1650177646862)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417133952007.png)]

那我们利用phpmyadmin的远程文件包含漏洞包含该session文件就可以rce

常见的session文件存在位置
/tmp
/var/lib/php/session
Windows:
C:\WINDOWS\Temp

我们这里是在/tmp目录下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9L3naFVD-1650177646863)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417135150356.png)]

利用远程文件包含漏洞payload成功rce

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0PUaE1nf-1650177646863)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417135315936.png)]

漏洞分析

首先是在index.php的55行一共有5个判断条件,判断成功后就会包含我们传入的变量,现在目标就是让条件都成立

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3FyB9FXV-1650177646864)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220417141800656.png)]

第一个不为空,好说

第二个为字符串,好说

第三个不能以index开头,好说

第四个不能在黑名单里,好说

主要是看第五个,我们得让他返回true

跟进Core::checkPageValidity,这里面一共有三处可以返回true,我们一处一处看

    public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        return false;
    }

首先定义了一个白名单,白名单就是这个

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
		...
    );

接下来就是判断$page是否在白名单,我们是为了包含其他文件,那这肯定不在白名单里面,所以第一个返回true的不行

那就看第二个返回true的地方,它是将$page中问号前面的截下来并判断是否在白名单里面如果在就返回true,我们可以构造$page为db_sql.php?/…/…/…/…/…/…/…/etc/passwd,这样就可以返回true,从而if判断成功进入if分支,但是include里面是不能有问号的这就导致包含失败,所以第二个返回true的地方不能用

我们继续看第三处返回true的地方

$_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

先对$page解码然后依然将$page中问号前面的截下来判断是否在白名单里面如果在就返回true,那么我们可以构造$page为db_sql.php%253F/…/…/…/…/…/…/…/etc/passwd,其中%253F为问号的二次编码,这样的话返回true从而进入if分支,然后包含db_sql.php%3F/…/…/…/…/…/…/…/etc/passwd,这就可以正确包含到passwd文件了

Getshell

根据phpmyadmin会将用户执行的sql语句写入用户的session文件中,致使我们可以写马进session文件,再通过这个远程文件包含漏洞从而来getshell

参考文献

https://xz.aliyun.com/t/5534

https://vulhub.org/#/environments/phpmyadmin/CVE-2018-12613/

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-04-18 17:20:14  更:2022-04-18 17:21:51 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 4:39:26-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计