PHPMyAdmin4.8.1任意文件读取漏洞
青 叶
  2021-05-30 12:29:28 2021-05-30 12:29   2022-11-16 12:57:04      530 字  2 分钟

这题是在BUUCTF平台里遇到的,题目是HCTF 2018的Warm Up.

给出的php代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

对这个代码进行分析,发现会下面include $_REQUEST['file'],但是需要绕过类emmm的静态函数checkFile

分析这个函数,第一个:

1
2
3
4
5
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
	echo "you can't see it";
	return false;
}

只需要传入file参数以及确保参数为string类型即可过。

第二个:

1
2
3
if (in_array($page, $whitelist)) {
	return true;
}

如果是source.php或者hint.php的话直接放行。

第三个:

1
2
3
4
$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));
if (in_array($_page, $whitelist)) {
	return true;
}

这个也是判断include的文件是否为source.php或者hint.php,用于存在参数时的判断。

第四个:

1
2
3
4
5
6
7
8
9
$_page = urldecode($page);
$_page = mb_substr(
	$_page,
	0,
	mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
	return true;
}

一样的判断逻辑,只是进行了urldecode

整理一下,以上的判断第二个点、第三个点和第四个点都能返回true,但是显然的第二个点无法利用。

而第三点显然存在利用方式。

构造file=hint.php?/../../../../ffffllllaaaagggg,这样就可以在第三点返回一个true从而使得绕过检测,又由于上面的file参数进行了路径穿梭,从而使得任意文件包含的可能。

第四点利用,只需要将?进行URL编码后即可:

file=hint.php%253f/../../../../ffffllllaaaagggg

  • 本文标题PHPMyAdmin4.8.1任意文件读取漏洞
  • 本文作者青 叶
  • 创建时间2021-05-30 12:29:28
  • 本文链接p/27057/
  • 版权声明本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!