cve-2018-12613-PhpMyadmin后台文件包含漏洞

前言

• 刚开始复现这个漏洞的时候是在自己的本机上然后跟着大佬的复现步骤可是没有预期的结果最后看了另一篇文章
  
  当时整个人都麻了
  
            

首先何为phpMyAdmin

根据官方的说明phpMyAdmin 是一个用PHP编写的免费软件工具，旨在 通过 Web处理MySQL的管理。phpMyAdmin 支持对 MySQL 和 MariaDB 的广泛操作。经常使用的操作（管理数据库、表、列、关系、索引、用户、权限等）可以通过用户界面执行，同时您仍然可以直接执行任何 SQL 语句。

  大家也该是不陌生的，我想最开始学习php的时候应该有相当一部分人是从phpstudy开始的而在高版本的phpstudy中会自动为我们安装phpMyAdmin，说是安装其实就是在www下的一个文件夹

下面我们开始介绍该漏洞

1.漏洞的位置

  该漏洞在phpmyadmin的index.php文件大约在第50行左右

• 首先事检查target是否为空
• 然后是检查target是否为字符串
• 再然后是判断target是否存在于target_blacklist中而在该数组中就只用import和export两个所以还是很容易绕过的
• 最后是一个来自Core文件的一个checkPageVaalidity函数，Core在phpMyAdmin\libraries\classesCore.php中

  然后我们进入checkPageVaalidity函数

• 该函数要两个参数可是我们在index.php中发现我们就传入一个参数这个参数就是$page
• 首先会判断$whitelist参数是否为空如果是空的会赋予一个默认的值这个数组是
  
  
  
  这里就不全都展示了，确实很多
• 我们可以发现在第三个if的时候会查看我们传入的target是否在给定的数组里，只有在的时候才会返回true
• 而在第四个if的时候是会以?作为截取的标志来截取?前面的字符串判断是否存在于数组$goto_whitelist中，phpmyadmin的开发团队考虑的很全面这个判断就是考虑到target后面可能还有参数的情况这样判断就可以保证target带有参数也能正常运行，可是就是因为考虑的太全面了所以在这里就有一个漏洞
• 第5个if就是在对target解码后在截取判断了一遍。

在说这个漏洞之前我们先看一个php特性双重编码

  在php中我们对?进行双重编码（）在传个服务端是服务端解码就会是%3f而这是php就会把%3f之前的文件当成文件夹(这个漏洞的发现大佬是真的牛！！！！！)接下来做一个实验



  首先我们先建立三个文件

index222.php

mmmm





结果

  现在我们回归正题因为在checkPageVaalidity函数中允许我们在target后面在带参数这漏洞不就来了吗！！！



  之前看大佬的文章发现有一个general_log方法（这个还不会之后会补上的）这里我们就用大佬们常用的session文件包含方式。先说明各个系统session文件的存储位置Macos的session保存目录为/var/tmp/，Linux的session保存目录为/var/lib/php/sessions，Windows是在tmp/tmp/下，这里我遇到了一个bug或许是因为我的phpmyadmin4.8.0是后添加的，这里我找不到对应的session文件就很迷。我做实验是在18号可是就是没有那天的session文件而且在整个文件中也没有。

但是可以发现我们在进行执行sql命令是时我们的命令时被记录在相应的seesion文件里的注意看最后两个session记录可以发现在我们查询前后的记录是不同的

最后预期的payload就是127.0.0.1/phpmyadmin-4.8.0/index.php?target=db_sql.php%253f/../../../../../../tmp/tmp(sess_............)

最后我们看一道题：





进入之后可以发现有一串乱码





这里什么什么都没有也是迷了半天因为我的御剑啥也没扫出来，之后是看到题目是有一个数据库才想起来是不是有phpmyadmin：



这里可以看到版本是4.8.1所以我们可以用PhpMyadmin后台文件包含漏洞然后就是

payload = http://37faeb76-df25-4860-b7b1-d62d17a00186.node4.buuoj.cn:81/phpmyadmin/?target=db_datadict.php?%253f/../../../../../../../../etc/passwd

发现有反馈所以说可以。



  这里说明一下这个../可以多加但不可以少，这样可以保证能让其返回到跟文件夹，还有就是db_datadict.php是可以替换的只要是$whitelist数组里的都可以哦

最后就是：payload=http://37faeb76-df25-4860-b7b1-d62d17a00186.node4.buuoj.cn:81/phpmyadmin/?target=db_datadict.php?%253f/../../../../../../../../flag

• 今天又是菜鸡刷题的一天，但我一定要刷跟跟多的题成为更大的菜鸡。

参考：

https://www.phpmyadmin.net/

https://blog.csdn.net/Mikasa_/article/details/88425166

https://blog.csdn.net/Mikasa_/article/details/88594749

https://www.cnblogs.com/0daybug/p/13494650.html