【漏洞复现】PHPmyadmin 4.8.1后台Getshell新姿式

原文地址：https://mp.weixin.qq.com/s/HZcS2HdUtqz10jUEN57aog

早上看到群里在讨论一个新姿式，phpmyadmin后台getshell，不一样于以往须要知道网站的绝对路径，这个漏洞只要数据库和网站源码在同一个盘符下便可直接getshell。

漏洞详情请看原文地址，这里只进行复现。

打开本身的phpstudy，发现本身下载的是4.0.10.20版本的，先查看phpmyadmin目录下的index.php文件，发现代码以下：

这里是基于白名单的机制，target参数只能存在$goto_whitelist数组中，具体内容以下：

由这两处代码能够判断phpmyadmin 4.0.10.20版本的不存在该漏洞。

咱们继续下载phpmyadmin 4.8.1版本的进行测试。index.php代码以下：

由上图红框处可知这里是基于黑名单机制进行判断，只要target参数的值不是"import.php"和"export.php"便可进行下一步判断。

checkPageValidity函数的代码以下：

须要注意的是，$_GET、$_POST、$_REQUEST等得到的参数都是默认进行一次url解码的，可是这里对传入的参数又进行了一次url解码。

所以咱们能够将【?】进行两次url编码，构造以下url：

http://localhost/phpMyAdmin/index.php?kk=phpinfo();&target=db_sql.php%253F/../../../MySQL/data/test/hack.frm

checkPageValidity函数对传入的target参数进行判断，target参数的值开始到【?】的文件须要在白名单whitelist内。

判断成立后在index.php文件中便直接使用inclde函数进行文件包含，由此咱们利用两次url编码的方法便绕过了检测。

这里能够利用包含MySQL自带的配置文件my.ini来判断当前路径。

找出MySQL文件的路径后，便可利用建立表的方式写入webshell，再利用这个漏洞进行包含，便可getshell。

建立表以后查看数据库文件，成功写入。

利用该漏洞包含给文件，成功getshell。

 

注意☆☆☆：这里写入的一句话须要用GET方式，POST方式尝试过没法成功，至于如何getshell（大马），能够参考个人上一篇文章。

https://www.cnblogs.com/fox-yu/p/9134848.html

 

笨鸟先飞早入林，笨人勤学早成材。 转载请注明出处： 撰写人：fox-yu http://www.cnblogs.com/fox-yu/