1. 程式人生 > >phpMyadmin各版本漏洞

phpMyadmin各版本漏洞

exp server aries reg pla door 概述 登錄 3.x

一: 影響版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG

  概述:PhpMyAdmin存在PREGREPLACEEVAL漏洞

  利用模塊:exploit/multi/http/phpmyadminpregreplace CVE: CVE-2013-3238

二: 影響版本:phpMyAdmin v3.5.2.2

  概述:PhpMyAdmin存在serversync.php 後門漏洞

  利用模塊:exploit/multi/http/phpmyadmin3522_backdoor CVE: CVE-2012-5159

三: 影響版本: 2.11.x < 2.11.9.5 and 3.x < 3.1.3.1;

  概述:PhpMyAdmin配置文件/config/config.inc.php存在命令執行

  利用模塊:exploit/unix/webapp/phpmyadmin_config CVE: CVE-2009-1151

四:影響版本:2.11.3 / 2.11.4

  利用方法:用戶名處寫入‘localhost‘@‘@"則登錄成功。 (註意全部是英文標點符號,最後一個為英文雙引號)

附上幾個php爆絕對路徑的辦法:

phpMyAdmin/libraries/selectlang.lib.php

phpMyAdmin/darkblueorange/layout.inc.php phpMyAdmin/index.php?lang[]=1

phpmyadmin/themes/darkblue_orange/layout.inc.php

phpMyadmin各版本漏洞