**環(huán)境：**http://62.234.56.138:8080/server_databases.php

官網(wǎng)下載phpmyadmin 4.8.1

源碼：index.php文件中

函數(shù)含義：

• targer非空
• targer是否位字符串
• 不能以index為開頭，即過濾了index
• 值不能出現(xiàn)在blacklist內(nèi)，即黑名單
• Core類的checkPageValidity方法判斷（菜雞扣jio）

前兩個(gè)不重要，第三個(gè)條件：
全局搜索：

說明過濾了 ‘import.php’, ‘export.php’ 兩個(gè)字符串

第四個(gè)條件：
代碼在libraries\classes\Core.php 443-476行

含義：
checkPageValidity函數(shù)里又是五個(gè)判斷：

1、$ whitelist為空則引用靜態(tài)聲明的$goto_whitelist

2、如果$ page沒有被定義過或者$page不為字符串則return false

3、$ page存在$whitelist中的某個(gè)值則返回true

4、$ _page存在$whitelist中的某個(gè)值則返回true

5、經(jīng)過urldecode函數(shù)解碼后的$ _page存在$whitelist中的某個(gè)值則返回true

繞過：
所以傳入二次編碼后的內(nèi)容，會讓checkPageValidity()這個(gè)函數(shù)返回true，但index中實(shí)際包含的內(nèi)容卻不是白名單中的文件
例如傳入
?target=db_datadict.php%253f
由于服務(wù)器會自動解碼一次，所以在checkPageValidity()中，$ page的值一開始會是db_datadict.php%3f，又一次url解碼后變成了db_datadict.php?，這次便符合了?前內(nèi)容在白名單的要求，函數(shù)返回true
但在index.php中$_REQUEST[‘target’]仍然是db_datadict.php%3f，而且會被include，通過目錄穿越，就可造成任意文件包含

即：缺陷在urldecode() 我們可以利用這個(gè)函數(shù)繞過白名單檢測，只要把 ? 兩次url編碼為 %253f 即可繞過驗(yàn)證

漏洞復(fù)現(xiàn)：
執(zhí)行：SELECT ‘<?php phpinfo()?>’;

查看cookie：
查看自己的sessionid（cookie中phpMyAdmin的值）

訪問：http://192.168.20.128:8080/?target=db_sql.php%253f/…/…/…/…/…/…/…/…/tmp/sess_7350253b89aa88dbbfda47e4307c64a2

就可以看到session文件啦

找到安裝目錄

總結(jié)

以上是生活随笔為你收集整理的【CVE-2018-12613】phpmyadmin 4.8.1 远程文件包含漏洞复现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。