0x1 漏洞分析

在最新的phpMyAdmin上修复了几个漏洞，其中一个是：

本地文件包含（CVE-2018-19968） -至少从4.0到4.8.3的phpMyAdmin版本就有一个本地文件包含漏洞，可允许远程攻击者通>过转换功能从服务器上的本地文件中获取敏感内容。
“攻击者必须能够访问phpMyAdmin配置存储表，尽管可以在攻击者访问的任何数据库中轻松创建这些表。攻击者必须拥有有效的凭>据才能登录phpMyAdmin; 此漏洞不允许攻击者绕过登录系统。“

这个漏洞如果我本以为是话是之前mysql的 LOAD DATA INFILE 的问题，导致如果phpMyAdmin开启任意主机链接的话，可以导致读取本地文件，关于LOAD DATA INFILE本地文件读取可以参考下这篇文章，写的很完整。

结果发现在最新版的phpMyAdmin上进行测试，依然可以读文件，想了一下，这个根本的修复方式还是需要在php的myqsl扩展中进行修复。
所以不单单是pma的问题，如果有的shell的情况下可以通过自写数据库链接脚本来达到读文件的效果，理论上来说也可以用该方法绕过php的open_basedir。

关于LOAD DATA INFILE的大概解释：

LOAD DATA INFILE其实是一个mysql客户端的动作，不受mysql server的文件安全模式和文件权限的影响，是服务端向客户端发送一个读文件的请求，然后客户端再将文件发送过去。

0x2 漏洞利用

先配置一下环境,先下载最新版的phpmyadmin
然后修改/phpMyAdmin-4.8.4-all-languages/libraries/config.default.php

$cfg['AllowArbitraryServer'] = true; //false改为true

配置完成可即可发现，服务器的内容可以自己进行填写,

然后利用rogue_mysql_server.py进行文件的读取。
修改脚本中的

filelist = (
#    r'c:\boot.ini',
    r'/etc/passwd', #此处改为需要读取的文件
#    r'c:\windows\system32\drivers\etc\hosts',
#    '/etc/passwd',
#    '/etc/shadow',
)

脚本跑起来之后进行连接，账号密码随便填写即可

结果会保存在mysql.log中

drwxr-xr-x.   2 root root 4.0K 11月 28 10:01 xx
dr-xr-x---.  35 root root 4.0K 11月 28 10:01 .
dr-xr-xr-x.  18 root root 4.0K 11月 29 03:16 ..
drwxr-xr-x.  27 root root 4.0K 11月 29 07:50 tools
-rw-------.   1 root root  21K 12月 12 16:50 .bash_history
-rw-r--r--.   1 root root 327K 12月 12 16:57 mysql.log
[root@test-data ~]#

ThinPHP5.1 代码执行漏洞

0x1 漏洞分析

补丁文件所在位置：/thinkphp/library/think/route/dispatch/Url.php
56-66行

        if ($this->param['auto_search']) {
            $controller = $this->autoFindController($module, $path);
        } else {
            // 解析控制器
            $controller = !empty($path) ? array_shift($path) : null;
        }

        if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { patch fix vuls
            throw new HttpException(404, 'controller not exists:' . $controller);
        }

        // 解析操作

具体操作文件：/thinkphp/library/think/route/dispatch/Module.php

<?php
 
        parent::init();
        
        $result = $this->dispatch;
        /*
        $result完整被请求的url
        thinkphp正常支持 
        index.php/index/index/index
        index.php?s=index/index/index
        俩种模式的路由
        $result="index/index/index"
        */
        if (is_string($result)) {
            $result = explode('/', $result);
        }

        if ($this->rule->getConfig('app_multi_module')) {
            // 多模块部署
            $module    = strip_tags(strtolower($result[0] ?: $this->rule->getConfig('default_module')));
            $bind      = $this->rule->getRouter()->getBind();
            $available = false;

            if ($bind && preg_match('/^[a-z]/is', $bind)) {
                // 绑定模块
                list($bindModule) = explode('/', $bind);
                if (empty($result[0])) {
                    $module = $bindModule;
                }
                $available = true;
            } elseif (!in_array($module, $this->rule->getConfig('deny_module_list')) && is_dir($this->app->getAppPath() . $module)) {
                $available = true;
            } elseif ($this->rule->getConfig('empty_module')) {
                $module    = $this->rule->getConfig('empty_module');
                $available = true;
            }

            // 模块初始化
            // echo $this->app->getAppPath() . $module."<br>";
            // var_dump(is_dir($this->app->getAppPath() . $module));
            
            //echo $module,$available;die();
            if ($module && $available) {
                // 初始化模块
                //echo 123123;
                $this->request->setModule($module);
                $this->app->init($module);
            } else {
                throw new HttpException(404, 'module not exists:' . $module);
            }
        }

        // 是否自动转换控制器和操作名
        var_dump($result);
        $convert = is_bool($this->convert) ? $this->convert : $this->rule->getConfig('url_convert');
        // 获取控制器名
        $controller = strip_tags($result[1] ?: $this->rule->getConfig('default_controller')); //分割了/之后取第二个参数

        $this->controller = $convert ? strtolower($controller) : $controller;

        // 获取操作名
        $this->actionName = strip_tags($result[2] ?: $this->rule->getConfig('default_action')); //分割了/之后取第三个参数
        echo 'init:'.$this->controller."<br>";
        // 设置当前请求的控制器、操作
        $this->request
            ->setController(Loader::parseName($this->controller, 1))
            ->setAction($this->actionName);

        return $this;
    }

    public function exec()
    {
        // 监听module_init
        $this->app['hook']->listen('module_init');

        try {
            // 实例化控制器
            echo 'exec:'.$this->controller."<br>";
            $instance = $this->app->controller($this->controller,
                $this->rule->getConfig('url_controller_layer'),
                $this->rule->getConfig('controller_suffix'),
                $this->rule->getConfig('empty_controller'));

         ...
            //echo 123;die();
            $data = $this->app->invokeReflectMethod($instance, $reflect, $vars);

...

在看 $this->app->controller函数原型
/thinkphp/library/think/App.php

  public function controller($name, $layer = 'controller', $appendSuffix = false, $empty = '')
    {   
        echo $name, $layer, $appendSuffix."<br>";
        list($module, $class) = $this->parseModuleAndClass($name, $layer, $appendSuffix); //重点调用了parseModuleAndClass
        var_dump(class_exists($class));
        echo 'class:'.$class."<br>";
        if (class_exists($class)) {
            echo 'class_exists<br>';
            return $this->__get($class);
        } elseif ($empty && class_exists($emptyClass = $this->parseClass($module, $layer, $empty, $appendSuffix))) {
            return $this->__get($emptyClass);
        }

        throw new ClassNotFoundException('class not exists:' . $class, $class);
    }
    
    protected function parseModuleAndClass($name, $layer, $appendSuffix)
    {   echo 'parseModuleAndClass:'.$name."<br>";
        if (false !== strpos($name, '\\')) { //如果name种包含\则赋值给class
            $class  = $name;
            
            $module = $this->request->module();
            
        } else {
            if (strpos($name, '/')) {
                list($module, $name) = explode('/', $name, 2);
            } else {
                $module = $this->request->module();
            }

            $class = $this->parseClass($module, $layer, $name, $appendSuffix);
        }

        return [$module, $class];
    }

0x2 漏洞利用

看到这里基本就能理解了
如果我访问

http://127.0.0.1:8023/index.php?s=index/think\Loader/esss&a=1asdasd

就可以调用thinkLoader 这个namespace下面的esss函数，为了方便测试，我在loader中加了一个esss函数，截图如下

下面只要找到一个点能代码执行即可
刚准备找点exploit就出来了？你们是魔鬼吗？

0x3 找到利用点

文件：library/think/view/driver/Php.php

namespace think\view\driver;
...
    public function display($content, $data = [])
    {
        $this->content = $content;

        extract($data, EXTR_OVERWRITE);
        eval('?>' . $this->content);
    }
...

构造一下直接exploit