phpmyadmin漏洞_宝塔phpmyadmin未授权访问漏洞复现

最新推荐文章于 2025-05-11 19:15:42 发布
最新推荐文章于 2025-05-11 19:15:42 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: phpmyadmin漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39954908/article/details/111289365

0x01 介绍
宝塔:宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能。
Phpmyadmin:phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。0x02 漏洞描述
在宝塔web界面自动登录过phpmyadmin形成缓存,攻击者访问宝塔的时候只需要在host:port/pma 就能进入到phpmyadmin管理界面。0x03 威胁版本
Linux=7.4.2
windows=6.8
其他版本无危害0x04 漏洞详情
先来看一张图解吧(来自互联网)

2a1bc0c5a4cf1645f5b27233b2c0e09d.png

655d751f40e1440bd144178cd48325ab.png

0x05 修复方案
Linux用户升级至最新版本7.4.3,windows用户升级至6.9

宝塔面板未授权访问漏洞复现
afei001
08-31 1762
目录 1.漏洞概述 2.影响范围 3.风险等级 4.漏洞复现 4.1.环境搭建 4.2.漏洞利用 5.BTSoft安装脚本分析 6.上传一句话拿下主机shell 7.修复建议 1.漏洞概述 2020年8月23日左右,宝塔面板爆出phpmyadmin未授权访问漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限。2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了该高危漏洞。 2.影响范围 受影响版本: 宝塔Windows面板 =...
宝塔 phpmyadmin未授权访问漏洞
初岄的博客
07-26 2738
宝塔 phpmyadmin未授权访问漏洞
宝塔7.4.2漏洞复现
震山的博客
08-20 1964
复现宝塔当时广为流传的 pma 非授权访问漏洞
phpMyAdmin漏洞学习
lubai60060的博客
05-11 1121
是一个基于 Web 的 MySQL/MariaDB 数据库管理工具,使用 PHP 编写,允许用户通过浏览器直接操作数据库。
宝塔php漏洞,宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析
weixin_32392989的博客
03-26 893
前言2020 年 8 月 23 日的晚上群里突然有个管理员艾特全体 说宝塔漏洞了!赶紧更新吧。漏洞信息宝塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授权访问漏洞漏洞phpmyadmin 未鉴权,可通过特定地址直接登录数据库的漏洞漏洞 URL:ip:888/pma 即可直接登录(但要求必须安装了 phpmyadmin)漏洞分析接下...
宝塔漏洞复现
热门推荐
黑白的博客
09-06 1万+
声明 好好学习,天天向上 漏洞描述 宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能 该漏洞phpmyadmin未鉴权,可通过特定地址直接登录数据库的漏洞 影响范围 宝塔Linux面板7.4.2版本 宝塔Linux测试版7.5.13 Windows面板6.8版本 复现过程 漏洞镜像可以用docker获取 先配置加速器(公
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?
离别歌
08-24 894
周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL:随便点开其中一个,赫然就是一个大大的phpmyadmin...
宝塔计划任务访问url_宝塔面板漏洞复现
weixin_39520353的博客
11-18 1083
一、漏洞介绍0x01 宝塔介绍 宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能。0x02 漏洞介绍 宝塔的特定版本存在phpmyadmin未授权访问漏洞,攻击者可以通过...
宝塔7.4.2未授权访问漏洞,吃瓜看黑阔删库挂黑页
z1feiyu
08-24 1467
注:因个别原因无法自行复现,转载自各公众号,略微进行修改添加 0x01 漏洞复现 下载linux7.4.2版本宝塔,使用root用户执行(当前使用centos系统),添加权限安装 7.4.2linux版本下载链接:https://pan.baidu.com/s/1nUMGvof_9I4JdVtk2Z0sMA 提取码:stuj chmod +x install.sh ./install.sh 安装完成后,会回显用户密码以及登陆地址 踩坑点:登录后,分别安装apache2.4、mysql、p
phpMyAdmin 未授权Getshell
蚁景网安学院
02-01 957
做渗透测试的时候偶然发现,phpmyadmin少见的打法,以下就用靶场进行演示了。环境搭建使用metasploitable2,发现phpmyadmin,如果这个时候无法登陆,且也没有前台的漏洞,可以继续在这个phpmyadmin目录下做文章。
PC版宝塔漏洞批量扫描软件2020版
08-27
1.单个扫描只扫描域名列表第一个 2.批量扫描则扫描全部。 使用须知: 本程序只对未更新宝塔的用户有效, 如果扫出来的地址进不去,说明改网站宝塔版本已经更新了。
秘密-宝塔漏洞复现-详细网安教程
2401_84915584的博客
07-10 778
扫码领资料获网安教程本文由掌控安全学院 -caih投稿前几天找到个可以上传任意文件的上传点,成功上传phpinfo页面并能访问,但是不能成功上传一句话
最新宝塔7.4.2漏洞复现
明哥哥知识分享
09-09 901
复现地址:本机环境 复现版本:7.4.6破解到7.4.2 访问宝塔面板,会提示用随机生成的入口才能访问,这里不需要这个入口。 我这里本地复现的版本是是7.4.6,这个是在网上找的破解版,能够复现7.4.2的漏洞。 输入ip:端口/pma 就直接进入到了phpmyadmin,正常情况下是无法访问的,这里出现了未授权直接进入到了数据库,这就非常危险了。 官方修复建议是升级,此次影响的版本是linux面板7.4.2,windows面板6.8,并且安装了phpmyadmin,或者禁止访问888端口。 免责声明
宝塔面板漏洞 导致phpmyadmin数据库被任意浏览
网站安全资讯
08-24 800
2020年8月23日,SINE安全监测中心,监测到宝塔官方发布了漏洞补丁更新,该宝塔漏洞会导致phpmyadmin无需密码就能访问,并且能够对数据库进行增删改查等操作...
宝塔+dedecms 文件上传漏洞bypass复现
2301_80127209的博客
04-18 918
知道,1方面要对小马进行base64编码, 另外一方面要对蚁剑进行魔改。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。1,我先找的资料,是蚁剑的绕过disable_function。可以发现, 规则,对get,post ,cookie,等方式的eval,还有base64都进行了过滤。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。千万要注意的是,这个得选择这个。
漏洞复现宝塔WAF-get_site_status-SQL注入漏洞_宝塔waf 0day漏洞,可直接获取root权限(1)
2401_84972799的博客
05-13 728
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
【严重】宝塔面板数据库管理未授权访问漏洞通告
爱国小白帽
08-24 2243
360CERT [三六零CERT](javascript:void(0)???? 今天 0x01 漏洞简述 2020年08月23日, 360CERT监测发现宝塔面板官方发布了数据库未授权访问漏洞的风险通告,漏洞等级:严重。 宝塔面板存在数据库未授权访问漏洞,远程攻击者通过访问特定路径,可以直接访问phpmyadmin数据库管理页面,并可借此获取服务器系统权限。 对此,360CERT建议广大用户及时根据版本安装对应的宝塔面板安全加固程序。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 0x02
宝塔linux phpmyadmin,宝塔面板未授权访问phpMyAdmin(附批量脚本)
weixin_42393929的博客
05-16 468
一、影响版本Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响)二、修复方案或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):curl https://download.bt.cn/install/update_panel.sh|bash离线升级步骤:下载离线升级包:http://down...
phpmyadmin通杀漏洞复现
最新发布
07-25
### 漏洞复现步骤 phpMyAdmin 是一个基于 Web 的 MySQL 数据库管理工具,广泛用于 Web 开发中。由于其广泛使用,针对其漏洞的攻击也较为常见。在特定版本中,存在一个通杀漏洞,允许攻击者通过构造恶意请求执行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值