[ Обзор уязвимостей phpMyAdmin ]

Discussion in 'Веб-уязвимости' started by ettee, 7 Oct 2007.

  1. ^^^house^^^

    ^^^house^^^ New Member

    Joined:
    26 Feb 2011
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Вопрос по эксплоиту CVE-2016-5734 https://www.exploit-db.com/exploits/40185/
    Данный эксплоит для версий PhpMyAdmin 4.3.0 - 4.6.2, на моем сайте версия 4.0.10.15, она так же уязвима(просто эксплоит другой), эта уязвимость присутствует на моей версии, но эксплоит собрать, увы, не могу, по причине того что отсутствует файл /tbl_find_replace.php , на моей версии не было его еще.
    Помогите, может кто сталкивался с подобным, в сторону какого файла копать, известно только как пофиксили багу на этой версии, https://github.com/phpmyadmin/phpmyadmin/commit/351019c
    Какой конкретно файл цепляет libraries/tbl_columns_definition_form.inc.php, без понятия
    подскажите пожалуйста, с пма вообще практически не знаком
     
    #41 ^^^house^^^, 15 Oct 2016
    Last edited: 15 Oct 2016
  2. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    Ребят что известно по поводу
    phpMyAdmin PMASA-2017-8 Security Bypass Vulnerability
    ?
     
  3. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    244
    Likes Received:
    450
    Reputations:
    145
    cat1vo and crlf like this.
  4. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    под version 4.5.1 есть что ?
     
  5. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Расшифровка логина и пароля в cookie pmaUser-1 и pmaPass-1

    Когда вход в phpMyAdmin осуществляется через ISPManager, сервер возвращает такие заголовки:
    Code:
    Set-Cookie:pmaPass-1=WwazS5W8AMLiKAjA%2FGglKg%3D%3D; path=/phpmyadmin/; httponly
    Set-Cookie:pmaUser-1=4LIGuDEVD8XTNAQOvaGeCg%3D%3D; expires=Thu, 07-Apr-2016 17:50:34
    Можно подставить эти cookie себе и успешно зайти в phpMyAdmin, но это неудобно, так как cookie могут умереть.

    Сам файл отвечающий за эти cookie находится по пути /libraries/auth/cookie.auth.lib.php:
    PHP:
     $GLOBALS['PHP_AUTH_PW'] = PMA_blowfish_decrypt($_COOKIE['pmaPass-' $GLOBALS['server']],PMA_get_blowfish_secret());
    Функция PMA_get_blowfish_secret() ищет соль в конфиге phpMyAdmin.

    В том же файле есть такие строки:
    PHP:
    if ($GLOBALS['cfg']['LoginCookieRecall'] && !empty($GLOBALS['cfg']['blowfish_secret'])) {
            
    $default_user   $GLOBALS['PHP_AUTH_USER'];
            
    $default_server $GLOBALS['pma_auth_server'];
            
    $autocomplete   '';
        }
    Далее сам вывод:
    PHP:
    <input type="text" name="pma_username" id="input_username" value="<?php echo htmlspecialchars($default_user); ?>" size="24" class="textfield"/>
    Алгоритм эксплуатации:
    1) Перехватываем cookie (XSS, memory leak и т.д.)
    2) Вставляем cookie pmaUser-1 и несколько раз обновляем страницу авторизации, получаем расшифрованный логин
    3) Меняем значение cookie pmaUser-1 на значение из перехваченного pmaPass-1 и несколько раз обновляем страницу авторизации, получаем расшифрованный пароль

    В посте представлены исходники phpMyAdmin 3.5.0, соответственно, тестировалось тоже на нем. Но думаю это есть во многих версиях, если но во всех. В роли генератора выступил ISPManager 4 Lite.

    P.S. В google не нашел как их расшифровать, видимо информация пока неизвестная или слишком очевидная. Уязвимостью это назвать сложно, так как эти cookie сначала надо перехватить.
     
    fandor9, WallHack, Gorev and 5 others like this.
  6. dfsgsdg

    dfsgsdg New Member

    Joined:
    13 Jul 2019
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    А чем можно перебирать эту базу? и как изменить путь до phpmyadmin? чтобы к примеру этот список не поймал

     
  7. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,170
    Likes Received:
    1,155
    Reputations:
    202
    к примеру debian https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-phpmyadmin-on-debian-9
    в других ОС такой же принцип, ищем конфиг и меняем алиас и докидываем в папку basic-auth через .htaccess ну и саму папку переименуйте как нужно к прмиеру pma007_MBDSS82347823sdhjsd усё