宝塔 phpmyadmin未授权访问漏洞

最新推荐文章于 2025-06-11 16:37:58 发布
最新推荐文章于 2025-06-11 16:37:58 发布
阅读量2.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiTaiShen/article/details/125989636
本文介绍了宝塔面板在Linux 7.4.2和Windows 6.8版本中存在的PHPMyAdmin未授权访问漏洞,详细阐述了漏洞的影响、FOFA搜索语法及如何复现此漏洞。提醒用户及时升级到最新版本或采取其他安全措施来修复问题,以防止未经授权的数据库操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

宝塔 phpmyadmin未授权访问漏洞

此文章仅供用于学习研究,严禁用于非法用途,否则后果自负。

漏洞简介

【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈

漏洞影响

Linux正式版7.4.2
Linux测试版7.5.13
Windows正式版6.8

安装了 phpmyadmin,mysql数据库。(其他版本不影响)

开放888且未配置http认证

FOFA语法

app="宝塔-Linux控制面板"

漏洞复现

凡是在宝塔面板安装了phpmyadmin数据库管理软件,只要通过对应方法,无需用户名密码即可操作数据库

其中888为默认端口,若自定义端口,便可能是其它端口,可以自行测试有没有该漏洞

访问 http://xxx.xxx.xxx.xxx:888/pma 即可

了解本专栏 订阅专栏 解锁全文 超级会员免费看
宝塔面板数据库未授权访问(端口:888)
墨痕诉清风的博客
11-16 4579
如果能直接访问phpmyadmin,则存在安全漏洞,务必第一时间修复,如有疑问,联系运维客服协助处理。1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0。5、面板版本不为Linux面板7.4.2/Windows面板6.8.0。4、至少通过面板管理链接进入过phpmyadmin一次。3、安装了phpmyadmin,mysql数据库。2、针对888端口做了严格的安全认证,2、开放888且未配置http认证,3、未安装phpmyadmin,2020年8月护网行动爆出。1、未开放888端口,.
宝塔面板未授权访问漏洞复现
afei001
08-31 1760
目录 1.漏洞概述 2.影响范围 3.风险等级 4.漏洞复现 4.1.环境搭建 4.2.漏洞利用 5.BTSoft安装脚本分析 6.上传一句话拿下主机shell 7.修复建议 1.漏洞概述 2020年8月23日左右,宝塔面板爆出phpmyadmin未授权访问漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限。2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了该高危漏洞。 2.影响范围 受影响版本: 宝塔Windows面板 =...
phpMyAdmin 未授权Getshell
蚁景网安学院
02-01 957
做渗透测试的时候偶然发现,phpmyadmin少见的打法,以下就用靶场进行演示了。环境搭建使用metasploitable2,发现phpmyadmin,如果这个时候无法登陆,且也没有前台的漏洞,可以继续在这个phpmyadmin目录下做文章。
腾讯云linux服务器宝塔怎么使用mysql8.0并配套phpmyadmin
最新发布
m0_74279698的博客
06-11 501
直接官网找对应版本下载链接就好了。
宝塔linux phpmyadmin,宝塔面板未授权访问phpMyAdmin(附批量脚本)
weixin_42393929的博客
05-16 468
一、影响版本Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响)二、修复方案或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):curl https://download.bt.cn/install/update_panel.sh|bash离线升级步骤:下载离线升级包:http://down...
宝塔漏洞 XSS窃取宝塔面板管理员漏洞 高危
weixin_34161083的博客
11-12 3321
宝塔是近几年刚崛起的一款服务器面板,深受各大站长的喜欢,windows2003 windows2008windosws 2012系统,linux centos deepin debian fedora系统都可以使用宝塔的面板来管理服务器,宝塔可以一键部署网站的环境,IIS环境搭建,Nginx环境,PHP环境搭建,apache jsp环境,mysql数据库...
宝塔最新未授权访问漏洞及sql注入
m0_52514790的博客
02-23 2178
整个宝塔 WAF 核心防护功能的代码写的确实有点粗糙,代码组织方式不像一个成熟软件该有的架构,小 Bug 一眼望不到头,今天分享的是一个未授权访问漏洞,普通用户可以无视宝塔的随机登录地址,无视宝塔的登录密码,直接操作后台的数据,实现人人都是管理员的效果。这段代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中,源文件是 luajit 编译后的内容,反编译一下即可看到源码。话说这是临时工写的代码吧,对于宝塔的配置来说,要满足这两个条件很难吗?
phpmyadmin漏洞_宝塔phpmyadmin未授权访问漏洞复现
weixin_39954908的博客
12-06 1456
0x01 介绍宝塔宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能。Phpmyadmin:phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具...
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?
离别歌
08-24 893
周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL:随便点开其中一个,赫然就是一个大大的phpmyadmin...
宝塔7.4.2未授权访问漏洞,吃瓜看黑阔删库挂黑页
z1feiyu
08-24 1467
注:因个别原因无法自行复现,转载自各公众号,略微进行修改添加 0x01 漏洞复现 下载linux7.4.2版本宝塔,使用root用户执行(当前使用centos系统),添加权限安装 7.4.2linux版本下载链接:https://pan.baidu.com/s/1nUMGvof_9I4JdVtk2Z0sMA 提取码:stuj chmod +x install.sh ./install.sh 安装完成后,会回显用户密码以及登陆地址 踩坑点:登录后,分别安装apache2.4、mysql、p
宝塔严重未知安全性漏洞宝塔面板或Nginx异常)
Jan's的博客
12-09 5506
5、【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将。同时文件大小不一致的话,是因为安装方式的不同,极速安装包的安装大小一般都为5M,编译方式安装的大小大约为。)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。另外,未出现异常问题正常使用的用户,我们给出加固建议,如果您担心面板存在风险,可以登录终端执行。1、升级面板到最新版,已经是最新版的,在首页修复面板,并开启。
宝塔面板出现严重漏洞
卢松松
08-24 4861
昨天群友爆料,宝塔面板出现重大漏洞,存在可以通过特定地址绕过身份验证访问服务器数据库的风险,部分网站已经中招,服务器有使用宝塔linux面板 7.4.2以及宝塔windows面板 6.8版本的站长们需要紧急升级! 了解到,这次宝塔面板出现的BUG很严重,主要出现在宝塔linux面板 7.4.2以及宝塔windows面板 6.8版本,其他版本暂时安全。 据说,借助宝塔面板的这次BUG漏洞,可以直接绕过身份验证进入网站服务器的数据库,一旦被黑客盯上有可能被直接删库破坏所有数据,造成网站瘫痪...
宝塔服务器面板漏洞
weixin_44508748的博客
11-21 2509
宝塔服务器面板漏洞phpmyadmin没加鉴权 IP:888(宝塔服务端口)/pma可直接登陆数据库。漏洞版本为7.4.2 http://1.x.x.x:888/ http://1.x.x.x:888/pma/
宝塔WAF-get_site_status-SQL注入漏洞(含批量验证poc)_堡塔云waf存在sql注入(1)
2301_77118221的博客
04-16 566
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
浅谈宝塔渗透手法,从常见漏洞 聊到 宝塔维权 再到 bypass disable_functions原理
milu_Sec的博客
12-31 7553
公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma为什么要介绍这个洞呢,因为phpmyadmin这里好做文章,常见手法有into outfile写shell,日志get shell,UDF getshell,MOF提权,网上教程一大堆,这里麋鹿就不浪费大家时间了,不熟悉的读者可以百度一下。
宝塔漏洞复现
热门推荐
黑白的博客
09-06 1万+
声明 好好学习,天天向上 漏洞描述 宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能 该漏洞phpmyadmin未鉴权,可通过特定地址直接登录数据库的漏洞 影响范围 宝塔Linux面板7.4.2版本 宝塔Linux测试版7.5.13 Windows面板6.8版本 复现过程 漏洞镜像可以用docker获取 先配置加速器(公
宝塔漏洞工具_宝塔面板破解版能否使用?几个可能引起的风险问题_入门渗透指南
程序员三九的博客
06-02 1198
目前我们云服务器部署WEB可视化面板不缺少软件,有我们熟悉的宝塔面板、WDCP、AMH等,还有很多个人开发或者二次开发的云面板。但是用的较多的还是宝塔面板
宝塔php漏洞,宝塔面板 7.4.2 严重漏洞,可绕过验证直接登录数据库。附宝塔面板升级方法...
weixin_42495504的博客
03-26 3436
宝塔面板官方今天发布公告说明宝塔 7.4.2 存在严重安全漏洞,目前已经进行了紧急安全更新,并发布了 7.4.3 版本,请所有宝塔面板7.4.2 的用户务必更新到最新版,否者这个漏洞可以绕过验证直接通过 phpMyAdmin 登录 MySQL 数据库。一、宝塔安全漏洞详情装有宝塔面板的用户,访问以下网址:http://自己的IP:888/pma如果可以绕过验证直接进入 phpMyAdmin,请立...
宝塔面板漏洞 导致phpmyadmin数据库被任意浏览
网站安全资讯
08-24 800
2020年8月23日,SINE安全监测中心,监测到宝塔官方发布了漏洞补丁更新,该宝塔漏洞会导致phpmyadmin无需密码就能访问,并且能够对数据库进行增删改查等操作...
文件包含漏洞phpmyadmin
03-09
其中引用讲的是phpMyAdmin的跨站请求伪造漏洞,引用是某个本地下载漏洞的例子,引用是宝塔面板的phpMyAdmin未授权访问漏洞,引用[^4]则讨论文件包含漏洞的危害。用户的问题是关于phpMyAdmin中的文件包含漏洞的解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

初岄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值