(CVE-2019-18622)Phpmyadmin xss
一、漏洞简介
官方公布的是sql注入漏洞,但是实际是xss漏洞
二、漏洞影响
Phpmyadmin <=4.9.2,至少影响到4.7.7。
三、复现过程
漏洞分析
首先看官方修复的方式:
如上图,先关注/js/designer/move.js文件,可以看到单纯的修改了取值方式,最终的值通过POST 方式提交到db_desingner.php文件,关键内容如下:
if (isset($_POST['dialog'])) {
....
} elseif ($_POST['dialog'] == 'add_table') {
// Pass the db and table to the getTablesInfo so we only have the table we asked for
$script_display_field = $designerCommon->getTablesInfo($_POST['db'], $_POST['table']);
...
}
传到了getTablesInfo()函数中,该函数内容主要如下:
public function getTablesInfo($db = null, $table = null)
{
.....
foreach ($tables as $one_table) {
$DF = $this->relation->getDisplayField($db, $one_table['TABLE_NAME']);
$DF = is_string($DF) ? $DF : '';
$DF = ($DF !== '') ? $DF : null;
$designerTables[] = new DesignerTable(
$db,
$one_table['TABLE_NAME'],
$one_table['ENGINE'],
$DF
);
}
return $designerTables;
}
跟进getDisplayField(),内容如下:
public function getDisplayField($db, $table)
{
$cfgRelation = $this->getRelationsParam();
/**
* Try to fetch the display field from DB.
*/
if ($cfgRelation['displaywork']) {
$disp_query = '
SELECT `display_field`
FROM ' . Util::backquote($cfgRelation['db'])
. '.' . Util::backquote($cfgRelation['table_info']) . '
WHERE `db_name` = \'' . $GLOBALS['dbi']->escapeString($db) . '\'
AND `table_name` = \'' . $GLOBALS['dbi']->escapeString($table)
. '\'';
$row = $GLOBALS['dbi']->fetchSingleRow(
$disp_query, 'ASSOC', DatabaseInterface::CONNECT_CONTROL
);
if (isset($row['display_field'])) {
return $row['display_field'];
}
}
....
通过escapeString过滤 table 名,查看该过滤函数:
public function escapeString($link, $str)
{
return mysql_real_escape_string($str, $link);
}
引入了mysql_real_escape_string()函数
这个函数类似于addslashes()函数,当编码不当的时候,可能导致宽字节注入
但真的那么简单吗?继续往下看
这里获得的table_name 参数会传入以下语句:
SELECT *, `COLUMN_NAME` AS `Field`, `COLUMN_TYPE` AS `Type`, `COLLATION_NAME` AS `Collation`, `IS_NULLABLE` AS `Null`, `COLUMN_KEY` AS `Key`, `COLUMN_DEFAULT` AS `Default`, `EXTRA` AS `Extra`, `PRIVILEGES` AS `Privileges`, `COLUMN_COMMENT` AS `Comment` FROM `information_schema`.`COLUMNS` WHERE `TABLE_SCHEMA` = 'day1' AND `TABLE_NAME` = '$table_name';
这里的$table_name在 db_designer.php中可控,然而当环境准备好,语句配置好后,却出现了以下错误:
JSON encoding failed: Malformed UTF-8 characters, possibly incorrectly encoded
提示是因为编码问题,因此我们重新将 payload url 编码后再传入:
这次无误,查看执行的语句:
%df%27并没有按照我们想法闭合单引号,到底是什么原因呢?
在数据库连接的时候,phpmyadmin会将默认的字符格式设置为 utf8mb4,而我们宽字节注入必须要求编码为g bk,因此其实这里不存在宽字节注入。
说明这里的修复对SQL 漏洞并无多大关系(其实从修复文件上看,就知道了),继续看下一处修复。
/templates/database/designer/database_tables.twig处
diff 如下:
- {{ designerTable.getTableName()|raw }}
+ {{ designerTable.getTableName() }}
可以看到,唯一的差别就是删除了|raw,这种写法是Twig模板语言的写法,raw 的作用就是让数据在 autoescape过滤器里失效,可以安装一个 twig 模板看看实例。
composer require "twig/twig:^3.0"
运行命令后该目录下会生成2个文件:composer.json、composer.lock以及一个目录vendor
然后在同目录下创建文件夹templates、tmp
进入templates目录下创建index.html.twig文件,内容如下
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>twig</title>
</head>
<body>
<h1>test</h1><br>
{{ name |raw}}
<br>
{{ name }}
</body>
</html>
根目录下创建index.php,内容如下:
require_once 'vendor/autoload.php';
$loader = new \Twig\Loader\FilesystemLoader('templates');
$twig = new \Twig\Environment($loader, [
'cache' => '/Library/WebServer/Documents/twig/tmp',
]);
echo $twig->render('index.html.twig', ['name' => 'panda\' union select 1,2, from a']);
访问index.php可以发现:
单引号被转义成了实体字符
修复的 SQL 漏洞点在这里吗?
并不是。这里修复的仅仅是前端显示字符串的问题,与后端的 sql 注入也并无关系。
前文中提到的move.js修复的也是前端的内容,其实也和后端的 sql 注入并无关系。
那么这个修复方式和 sql 注入到底是什么关系呢?
可能没关系吧。
考虑到该修复内容全部为前端的内容,于是将表名改为 XSS 的 payload:
<script>alert(0)</script>
果然,和当初想的一样,触发了 XSS 漏洞。
然后看v4.9.2版本的 phpmyadmin:
转义成实体字符,无法触发 XSS 攻击 payload