phpMyAdmin 4.7.x CSRF 漏洞利用

hacker4年前黑客文章340

  phpMyAdmin是个知名MySQL/MariaDB在线管理工具,phpMyAdmin团队在4.7.7版本中修复了一个危害严重的CSRF漏洞(PMASA-2017-9),攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL语句。

  该篇文章我们将结合VulnSpy的在线phpMyAdmin环境来熟悉该漏洞的利用。

  在线 phpMyAdmin CSRF 演练地址:https://www.vulnspy.com/u=pmasa-2017-9

  注:重启演示靶机即可重置靶机

  点击 VulnSpy 提供的创建靶机地址(https://www.vsplate.com/github=vulnspy/PMASA-2017-9)

  

  跳转到 VSPlate 后,直接点击按钮,便会自动创建一个 phpMyAdmin 环境

  

  

  打开的链接,我们的 phpMyAdmin 就创建完成了。

  

  使用帐号 ,密码 ,登录 phpMyAdmin 。根据页面信息,我们可以发现当前 phpMyAdmin 的版本为 4.7.6,刚好匹配存在漏洞的 phpMyAdmin 版本。

  

  我们知道,如果要利用CSRF来删除或修改数据库内容,通查情况下需要提前知道数据库名、表名和字段名。这样利用显得有点复杂,成功率也有限,因此本文我们将介绍几种较为通用的利用方式。

  在MySQL中支持使用SQL语句来修改当前用户密码。比如将当前用户密码修改为,对应的SQL语句为:

  2.1 模拟管理员登录phpMyAdmin的状态。

  用帐号 root 密码 toor 登录 phpMyAdmin 。

  

  2.2 创建含有恶意代码的页面。

  文件名 2.payload.html (将下面的域名换成自己的靶机域名)

  2.3 用浏览器打开含有恶意代码的文件 2.payload.html

  

  回到上一步打开的phpMyAdmin页面,发现已自动退出,而且用原来的密码 toor 已经无法登录。

  

  2.4 使用密码 www.vulnspy.com 登录成功,表明利用成功

  

  MySQL支持将查询结果写到文件当中,我们可以利用该特性来写入PHP文件。比如将代码写到文件中,对应的SQL语句为:

  3.1 将上一个演示步骤相同,只需将2.2中的文件代码改成:

  3.2 用浏览器打开含有恶意代码的文件

  3.3 访问 test.php

  

  可见文件已经写入成功。

  MySQL提供了函数来支持读取文件内容的操作。比如读取文件内容,,对应的SQL语句为:

  但是对于CSRF漏洞来说,该读取操作实在目标用户端执行的,我们依然无法知道文件读取的结果。而在Windows下支持从 *** 共享文件夹中读取文件,如。 *** 共享文件的地址处不仅可以填写IP还可以填写域名,我们可以通过DNS解析来获取查询的数据。

  此处需要用到 DNSLOG 之类的工具:https://github.com/BugScanTeam/DNSLog, 这类工具可以记录域名的 DNS 解析记录

  比如通过DNS解析来获取当前 MySQL root 用户密码,对应的SQL语句为:

  获取当前数据库名:

  如果请求成功,查询结果将作为二级域名的一部分出现在我们的 DNS 解析记录当中。

  该环境暂无法演示

  如果上面几种利用方式都无法直接造成直接的影响,我们可以利用SQL语句来清空当前MySQL用户可操作的所有数据表。

  我们用命令

  来获取数据名和表名,并将其拼接成删除语句(如:),通过 来执行生成的删除语句:

  但是 execute 一次只能执行一条SQL语句,因此我们可以利用循环语句来逐一执行:

  5.1 Payload如下

  5.2 用浏览器打开含有恶意代码的文件

  5.3 回到 phpMyAdmin 中查看数据

  可以发现数据库和数据库中的数据已经被清空。

  

  这个 phpMyAdmin 的 CSRF 漏洞利用有点类似 SQL 盲注的利用,但是对于漏洞触发的时间不可控(即不知道管理员何时会访问含有恶意代码的页面),因此需要更加通用的利用方式。通过该实验,不仅了解该漏洞的内容,还可以更加熟悉CSRF漏洞的利用。

  本文转载自:phpMyAdmin 4.7.x CSRF 漏洞利用 -https://blog.vulnspy.com/2018/06/10/phpMyAdmin-4-7-x-XSRF-CSRF-vulnerability-exploit/

相关文章

冬眠的动物?冬眠的常见动物有哪些

冬眠的动物?冬眠的常见动物有哪些

随着白天逐渐变短,冬眠季节一天天地临近了。那些生活在我们周围,在花园中“做客”的小型哺乳动物和昆虫正在为漫长的冬日深眠做准备。 秋天过去,冬天的脚步就近了。有多少动物正准备在冬天呼呼大睡呢?熊,...

怎么做视频?教你制作短视频的方法(月入一万

怎么做视频?教你制作短视频的方法(月入一万

做原创视频难吗? 如果你会拍摄那肯定不难了,我们自己拍出来剪辑后肯定是原创了,那如果不会拍摄怎么办呢? 最简单的就是做解说类的影片了,我们首先想到的可能就是电影解说了,这类非常常见,下载一个电影用...

小偷破解gsm防盗器请黑客(无线gsm防盗报警器)

小偷破解gsm防盗器请黑客(无线gsm防盗报警器)

本文目录一览: 1、得罪了小偷,在我车里放了窃听器,要如何找到,接了车里的电。明面上没有,要怎么找? 2、小偷模拟器如何在三菱三破解硬盘? 3、黑客能够操控电脑cpu电压吗? 4、小偷模拟...

产后如何减肚子?产后应该怎么瘦肚子才有效?

产后如何减肚子?产后应该怎么瘦肚子才有效?

产后,宝妈应该怎么瘦肚子才能避免这种尴尬呢?我们看看产后可以怎么瘦肚子。     产后减肥瘦肚子的方法 散步 新妈妈们吃完晚饭后别顾着坐,饭后散步不能能让你更快复原,对瘦身也是非常的有帮助。...

风筝也叫纸鸢其中鸢是指 蚂蚁庄园2020年6月17日答案今日答案

风筝也叫纸鸢其中鸢是指 蚂蚁庄园2020年6月17日答案今日答案

小鸡宝宝考考你,风筝也叫纸鸢其中鸢是指 老鹰 飞机?6月17日鸡课堂答案是什么?各位不知道答案的小伙伴们,今天小编就给大家分享了正确的答案。 支付宝蚂蚁庄园6月17每日一题: 小鸡宝宝考考你,...

黑客是怎么知道别人qq密码,qq黑客软件查看密码

国际在线专稿(驻香港记者 梁弢):为全球2.38亿人提供免费电邮户口的雅虎(Yahoo),本周一发现其电邮服务被计算机病毒入侵。雅虎香港发言人14日表示,目前暂时未知雅虎香港(yahoo.com.hk...