【首发】phpmyadmin4.8.1后台getshell

官网下载的最新版,文件名是phpMyAdmin-4.8.1-all-languages.zip

问题就出现在了 /index.php

找到55~63行

第61行出现了 include $_REQUEST['target'];

很明显这是LFI的前兆,我们只要绕过55~59的限制就行

第57行限制 target 参数不能以index开头

第58行限制 target 参数不能出现在 $target_blacklist 内

找到 $target_blacklist 的定义:

就在 /index.php 的第50行

只要 target 参数不是 import.php 或 export.php 就行,最后一个限制是Core::checkPageValidity($_REQUEST['target'])

找到Core类的checkPageValidity方法:

定义在了 \libraries\classes\core.php 的第443行

问题出现在了第 465 行的 urldecode()

我们可以利用这个函数绕过白名单检测!

我把 ? 两次url编码为 %253f 即可绕过验证!

Payload:

http://127.0.0.1/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../windows/wininit.ini

本以为漏洞到这就结束了,因为我没有找到phpmyadmin可以进行文件操作来实现Getshell的地方,过了好几周后突发灵感,想到了一个不用写文件也能拿Shell的方法。

我们都知道,登入phpmyadmin后,数据库就是完全可以控制的了,那我们是否可以把WebShell写入到数据库中然后包含数据库文件?

本地测试了一下,发现如果把WebShell当做数据表的字段值是可以完美的写入到数据库文件当中的:

找到对应的数据库文件:

包含之:

Payload:

http://127.0.0.1/phpmyadmin/index.php?a=phpinfo();&target=db_sql.php%253f/../../../../../../phpStudy/PHPTutorial/MySQL/data/hack/hack.frm

原文发布于微信公众号 - ChaMd5安全团队(chamd5sec)

原文发表时间:2018-06-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏JetpropelledSnake

ELK学习笔记之Logstash和Filebeat解析对java异常堆栈下多行日志配置支持

logstash官方最新文档。 假设有几十台服务器,每台服务器要监控系统日志syslog、tomcat日志、nginx日志、mysql日志等等,监控OOM、内存...

55710
来自专栏惨绿少年

AWStats日志分析系统

AWStats是一款功能强大且功能强大的免费工具,可以图形方式生成高级Web,流媒体,ftp或邮件服务器统计信息。此日志分析器用作CGI或命令行, 并在几个图形...

16410
来自专栏SpringBoot 核心技术

第四十三章: 基于SpringBoot & RabbitMQ完成TopicExchange分布式消息消费

409150
来自专栏二次元

利用.htaccess绑定子域名到子目录

使用过emlog的人 应该对其中的静态链接应该不陌生 它就是典型的利用.htaccess文件来对网页进行域名转向。

60740
来自专栏极客日常

极客工具之 Alfred 与 Dash

使用 Alfred 可以让你在 macOS 程序间自由切换、快速查找或打开文件、调起浏览器进行网页搜索、 还可以做计算器。 另外,还有许多其它搜索功能以及付费的...

28430
来自专栏Jerry的SAP技术分享

如何在ABAP Netweaver和CloudFoundry里记录并查看日志

要记录日志需要有一个checkpoint group,可以自行创建也可以使用标准的。这里我重用标准的group:DEMO_CHECKPOINT_GROUP。

23970
来自专栏一枝花算不算浪漫

集群下session共享问题的解决方案.

845100
来自专栏坚毅的PHP

hbase问题总结

 1 java.io.IOException: java.io.IOException: java.lang.IllegalArgumentException:...

64360
来自专栏北京马哥教育

史上最全Linux命令科普 | 常见命令的名称是怎么来的?

1 目录缩写 缩写 | 全称 | 说明 --- | --- | --- | /bin | BINaries | 二进制可执行命令 /dev | DEVices...

33850
来自专栏云鼎实验室的专栏

跨站的艺术-XSS入门与介绍

什么是XSS? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写...

44470

扫码关注云+社区

领取腾讯云代金券