安科网

phpmyadmin后台代码执行分析复现

amberom

amberom

2020-06-07

关注 关注

0X01首先我们来了解下这个漏洞的关键函数

preg_replaceCTF的老函数了

preg_replace() 的第一个参数如果存在 /e 模式修饰符,则允许代码执行。
如果没有 /e 修饰符,可以尝试 %00 截断。
正则表达式修正符:
因为$pattern中指定的是要搜索的模式字符串,一般使用的是正则表达式,正则表达式中
存在修正符,像/i 就是指定取消大小写敏感,等。具体可参考:
但是其中一个修正符 “/e”;在替换字符串中对逆向引用作正常的替换,将其作为 PHP 代码求值,并用其结果来替换所搜索的字符串。



 
 
 这里可以看见preg_peplace是/e模式 第二个参数可以被我们代码执行
但是我们看这里 第二个执行函数不可控制了 那还能代码执行吗??

    对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n‘ 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数。

所以这里的 \1 实际上指定的是第一个子匹配项,我们拿 ripstech 官方给的 payload 进行分析,方便大家理解。官方 payload 为: /?.*={${phpinfo()}} ,即 GET 方式传入的参数名为 /?.* ,值为 {${phpinfo()}} 。

phpmyadmin后台代码执行分析复现

所以这里我们也可以同样造成代码执行

具体文章参考
https://xz.aliyun.com/t/2557

phpmyadmin后台代码执行分析复现

0X02漏洞影响版本

Phpmyadmin -> 4.0.10.16之前的4.0.x版本
4.4.15.7 之前的 4.4.x版本
4.6.3之前的 4.6.x版本
Php版本: 4.3.0 ~5.4.6
Php 5.0 版本以上的将 preg_replace 的 /e修饰符给废弃掉了

0x03漏洞分析

查询资料:
首先找到preg_replace()函数的调用位置:
发现是在 /libraries/TableSearch.class.php 文件中,

phpmyadmin后台代码执行分析复现

从这里我们可以看出 $find,$replacewith,$raw参数就是函数要传入地方 我们看看是在吗传入的 下断点

phpmyadmin后台代码执行分析复现

找到find参数传入的函数 也是在这个文件下

phpmyadmin后台代码执行分析复现

 这里调用了_getRegplaceRows类然后继续F10单步 跟进 发现find传入地点

phpmyadmin后台代码执行分析复现

现在针对这两个的参数都寻找到了,就剩下 第三个参数了,继续寻找。
第三个参数为 row[0]首先看到这个参数为一数组,猜想是由SQL语句查询并返回的第一个值。

下断点不难发现row是在sql执行的时候返回的参数

phpmyadmin后台代码执行分析复现

 跟进函数

SQL语句可理解为
Select $columnname ,1,cont(*) from database.table_name where $columnname rLike ‘$find’ collate $charset_bin Group BY $columnname order by $column ASC;

0X04构造payload

创建的数据库为test 数据表为"cs" 该表中的first列 的值为“0/e” ,该值也就是通过$sql_qury sql语句中查询得到的 $row[0]
"find": "0/e\0",
        "replaceWith": payload,

phpmyadmin后台代码执行分析复现

db= db&table= table&token= token&goto= sql.php&find= 0/e\0&replaceWith= payload&columnIndex= 0&useRegex= on&submit= Go&ajax_request= true
参考文献
https://www.exploit-db.com/exploits/40185
https://xz.aliyun.com/t/7836#toc-4
https://www.phpmyadmin.net/files/
https://www.php.net/preg_replace/

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n‘ 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数。

所以这里的 \1 实际上指定的是第一个子匹配项,我们拿 ripstech 官方给的 payload 进行分析,方便大家理解。官方 payload 为: /?.*={${phpinfo()}} ,即 GET 方式传入的参数名为 /?.* ,值为 {${phpinfo()}}

phpmyadmin 正则表达式

amberom

amberom

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析

群里突然有个管理员艾特全体 说宝塔出漏洞了!宝塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授权访问漏洞。漏洞未 phpmyadmin 未鉴权,可通过特定地址直接登录数据库的漏洞。一旦在早期版本安

theScoreONE 2020-08-23

phpmyadmin在宝塔面板里进不去的解决方案

在宝塔面板里装完phpmyadmin但是进不去数据库的这种情况太常见了, 很多人都买了服务器,装完了宝塔面板,但是十个人得有八个人进不去phpmyadmin,我总结了以下三种解决方案:。好了,一般888端口开放,大多都能进去,我这个是云服务器ECS,如果你

左转有出口 2020-08-17

通过xampp集成环境来搭建pikachu靶场(phpmyadmin的配置文件的设置)

搭建pikachu靶场需要apache,mysql等工具,因此我们需要多种工具,但多种工具之间的调试比较浪费时间,因此我们可以利用xampp集成环境来搭建pikachu靶场。首先,点击config,选择Apache,将所有的80改成其他未被使用的端口;,3

清风徐来水波不兴 2020-06-01

利用docker-compose搭建LAMP+phpmyadmin环境

  本文主要阐述如何利用docker-compose搭建LAMP环境,实现web服务。  apache:<version>-apache:该变体包含了Debian的Apache httpd和PHP;  参考install docker-comp

zhangxiaocc 2020-05-03

phpMyAdmin如何将InnoDB数据表类型 转换修改成MyISAM默认引擎?

1)登录phpMyAdmin数据库管理;3)点击左侧栏的数据表;5)在“操作”页里,选择要更改“数据库存储”类型为 “MyISAM”;6)点击下方的 “执行”,便可转换成功。转换完成后,建议把InnoDB引擎关闭掉,然后将MyISAM设为今后MySQL的默

zhaowj00 2020-04-10

phpmyadmin远程代码执行漏洞(CVE-2016-5734)

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。"""cve-2016-5734.py: PhpMyAdmin 4.3.0 - 4.6.2 authorized user RCE exploit. De

aaLiweipeng 2020-03-27

CentOS 7搭建LAMP环境上线PHPMyAdmin系统

--将mnt目录下的程序包拷贝到/usr/src/-->. --切换操作系统光盘-->. --删除系统自动yum-->. [ ~]# tar zxvf /usr/src/httpd-2.2.17.tar.gz -C /usr/src/

程序员之怒 2020-02-24

phpMyAdmin老出现登陆超时解决方法

会话有效期将会比您在 phpMyAdmin 中设置的时间要更短。在phpMyAdmin所在目录找到 / libraries / config.default.php 文件,打开,

Skyline 2020-02-14

26_多表查询 MySQL管理工具 、 用户授权及撤销

php$x=mysql_connect("localhost","root","123456");if($x){ echo "ok"; }else{ echo "no

amberom 2020-02-03

Linux centos7 下安装 phpMyAdmin的教程

$cfg['blowfish_secret'] = ''; //这里随意添加几个字符太短会有错误提示。$cfg['Servers'][$i]['auth_type'] = 'cookie'; //这里默认就好。$cfg['Servers'][$i]['ho

shenx 2020-01-07

phpMyAdmin的密码修改

问题 当升级了外挂应用,或者更改了mysql的root密码时候,需要重新同步外挂应用中phpmyadmin中的密码配置

zhaowj00 2020-01-12

如何更改phpMyadmin本身的语言支持

问题 如何更改phpMyadmin本身的语言支持

xcguoyu 2020-01-12

centos7一步一步搭建docker phpmyadmin 及nginx配置phpmyadmin非根目录重点讲解

 一、根目录下的phpmyadmin访问。 1、查看版本。 2、拉取最新版本。视网络速度等待~~ 3、查看镜像。 6、解决问题。 7、删除容器my_phpadmin_2020。          -e TZ="Asia/Shanghai"

igogo00 2020-01-12

Linux centos7 安装 phpMyAdmin

yum install httpd php mariadb-server –y搭建lamp运行环境之后安装phpMyAdmin遇到的一些问题记录一下。$cfg[‘blowfish_secret‘] = ‘‘; //这里随意添加几个字符太短会有错误提示。$c

poplpsure 2020-01-07

getshell技巧-phpMyAdmin的利用

生活就是泥沙俱下,鲜花和荆棘并存。常用工具有Kali中的DirBuster、dirb和wwwscan等。我用的是Kali中的DirBuster,对目标进行扫描。但是工具只是给我们提供参考的,而且工具爆破对phpMyAdmin的版本有一定的要求。因为系统版本

luckymaoyy 2019-12-25

Ubuntu查看修改mysql的登录名和密码、安装phpmyadmin

安装好mysql后,在终端输入 mysql -u root -p 按回车,输入密码后提示access denied......ues password YES/NO的错误。原因是用户名或密码不对!这时你需要进入/etc/mysql目录下,然后sudo vi

数据库成长之路 2019-11-24

Ubuntu apt-get方法安装phpmyadmin(转)

安装上面的方法,我们建立一个软连接,或者你把phpmyadmin直接复制到 /var/www/的文件夹下面也可以。在Ubuntu下面就可以正常使用phpmyadmin了。新安装的phpmyadmin默认是cookie模式,如果闲置十几分钟不操作的话,就会要

pupur 2015-03-03

Fedora上配置phpMyAdmin

Fedora上自带了php,且其与apache的关联也配置好了,不用配置,把apache配置好后,在/var/www/html中添加一个test.php网面,页面内容为 ,来测试php是否测试成功,如果成功,会出现php相关的配置信息图.最后别忘了找到$c

王科 2008-06-23

Linux服务器中安装phpMyAdmin数据库管理工具

在安装Fedora的时候,把基本该选择的组件都选上,其中就有Appache,mysql,和php,但是在我们管了数据库的时候,还是有个图形界面比较方便,所以我们自己安装phpmyadmin好了,安装很简单的。phpMyAdmin是一种MySQL的管理工具,

lmjy0 2008-06-12

Ubuntu下搭建属于自己的wiki与论坛(图)

下面我们就用Ubuntu来搭建属于自己的wiki与论坛。apache的default文件中需要指定网页的根目录。www目录下的文件对于www-data要具有可读写权。默认情况下会在/var/www中一个phpmyadmin的实例。ve a Ubuntu 7

hedongli 2008-02-09
amberom

amberom

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号