PhpMyAdmin漏洞利用总结

  • A+
所属分类:WEB安全

    一: 影响版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3

    概述:PhpMyAdmin存在PREG_REPLACE_EVAL漏洞

    利用模块:exploit/multi/http/phpmyadmin_preg_replace

    CVE: CVE-2013-3238

    二: 影响版本:phpMyAdmin v3.5.2.2

    概述:PhpMyAdmin存在server_sync.php 后门漏洞

    利用模块:exploit/multi/http/phpmyadmin_3522_backdoor

    CVE: CVE-2012-5159

    三: 影响版本: 2.11.x    < 2.11.9.5 and 3.x < 3.1.3.1;

    概述:PhpMyAdmin配置文件/config/config.inc.php存在命令执行

    利用模块:exploit/unix/webapp/phpmyadmin_config

    CVE: CVE-2009-1151

    四:

    影响版本:2.11.3 / 2.11.4

    利用方法:用户名处写入'localhost'@'@"则登录成功。 (注意全部是英文标点符号,最后一个为英文双引号)

    附上几个php爆绝对路径的办法:

        phpMyAdmin/libraries/select_lang.lib.php

        phpMyAdmin/darkblue_orange/layout.inc.php

        phpMyAdmin/index.php?lang[]=1

        phpmyadmin/themes/darkblue_orange/layout.inc.php

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:0   其中:访客  0   博主  0

    • 可可53day 6
      回复 2015年4月8日 下午4:13  沙发

      影响版本:PHPmyadmin 2.11.3 PHPmyadmin 2.11.4 两个版本都有此漏洞 只需要输入账号 密码不需要输入 利用代码如下:‘localhost’

      • 纷泪雨 6
        回复 2015年4月13日 下午2:43  板凳

        localhost?