phpmyadmin 2.8.0.3任意文件包含漏洞(无需登录)分析

漏洞来源于路人甲在wooyun提交的漏洞

存在漏洞的已知版本为 2.8.0.3，2.11及以上版本已修复

漏洞文件代码/scripts/setup.php：

把传入的configuration给反序列化，而这个setup.php中引入了common.lib.php

来到common.lib.php：

common.lib.php中引入了Config.class.php

再看看Config.class.php：

继续看load方法：

Config.class.php中含有__wakeup魔术方法，因此可以构造序列化参数，造成反序列化漏洞

所以整个思路就是：

setup.php->common.lib.php->Config.class.php->__wakeup()->load()->eval();

POC：

url:

http://localhost/phpmyadmin/scripts/setup.php

post data:

configuration=O:10:”PMA_Config”:1:{s:6:”source”;s:11:”/etc/passwd”;}&action=test

mac下测试：

windows下测试：

PHP版POC(用法如win图中所示)：

phpmyadin.php

GETSHELL:

但是经过分析这个漏洞php文件的，因为有了，相当于任意文件包含了，不过另一方面这也是有好处的，如果能写入文件，文件中包含一个一句话就可以直接getshell了。作者给的方式是用error log。

根据作者的方法，使用默认环境，才发现稍微有点鸡肋。不仅要获得errorlog路径，在ubuntu下，一般是不允许用root权限运行，实际测试中，是无法读取access.log的，所以getshell就比较困难。在windows下，由于几乎所有的浏览器和python模块都会很“自觉地”将特殊字符编码进行转换”，getshell就更难了，所以只能用socket去构造shell。

Access log中就出现了shell了。

再用任意文件包含漏洞去包含，就可以拿到shell了。