1. 漏洞背景与环境搭建phpMyAdmin作为最流行的MySQL数据库管理工具之一长期受到安全研究人员的关注。CVE-2020-5504这个漏洞的特别之处在于它完美展示了如何将一个看似无害的前端显示问题转化为完整的服务器控制链条。我们先从实验环境搭建说起。Vulfocus靶场提供了完美的复现环境IP和端口配置简单明了。启动环境后你会看到一个标准的phpMyAdmin登录界面使用默认凭证root/123456即可进入。这里有个细节值得注意现代phpMyAdmin版本通常会强制修改默认密码但这个漏洞环境保留了原始配置这本身就是一种安全隐患。在实际渗透测试中我遇到过不少管理员图省事使用弱密码的情况。有次审计某企业系统时发现他们竟然用admin/123456管理着包含百万用户数据的数据库。这种安全意识薄弱的现象往往就是安全漏洞的开始。2. 漏洞触发点分析漏洞的核心在于pre标签的异常处理。这个HTML标签本意是用来展示预格式化文本比如代码片段。但在phpMyAdmin的特定版本中它成为了SQL注入的突破口。具体来说当我们在SQL查询界面输入SELECT pre;系统会原样输出这个标签而不是将其作为HTML元素渲染。这个现象看似普通实则暴露了关键问题——用户输入未经充分过滤就直接输出。我在测试时发现如果配合特定字符编码甚至可以绕过部分过滤机制。更危险的是phpMyAdmin的查询结果显示机制存在缺陷。当查询结果包含特定格式的字符串时会触发解析异常。有次我在客户现场测试就利用类似的特性成功注入了恶意脚本。3. 信息收集与路径探测成功的攻击往往建立在充分的信息收集基础上。在这个漏洞利用过程中我们需要获取两个关键路径MySQL数据目录SELECT datadir;MySQL安装路径SELECT basedir;在我的实战经验中不同系统的默认路径差异很大。比如CentOS通常是/var/lib/mysql而Windows服务器可能是C:\ProgramData\MySQL。有次遇到个特别的环境管理员把数据库放在了/home目录下花了我不少时间才找到。确认路径后可以用load_file函数验证网站绝对路径SELECT load_file(/var/www/html/pma/index.php);这个技巧我在多个渗透测试项目中都用过。记得有次目标系统返回了403错误但通过响应包大小差异4KB左右还是成功判断出了有效路径。4. 漏洞利用与Webshell写入掌握了路径信息后真正的攻击开始了。利用MySQL的INTO OUTFILE功能我们可以将PHP代码写入web目录SELECT ?php echo \pre\;system($_GET[\cmd\]); echo \/pre\; ? INTO OUTFILE /var/www/html/pma/shell.php这个操作有几个技术要点需要MySQL用户有FILE权限目标目录必须可写要避开可能的过滤机制我在某次红队演练中就遇到个棘手情况系统检测到?php字符串会自动拦截。后来改用短标签?加上base64编码才绕过防护。写入成功后通过访问shell.php就能执行系统命令了。比如列出/tmp目录http://target/pma/shell.php?cmdls/tmp5. 防御建议与修复方案站在防御者角度我有几点实用建议及时更新phpMyAdmin到最新版本限制MySQL用户的FILE权限配置open_basedir限制PHP访问范围对SQL查询结果进行严格的输出编码有次帮客户做安全加固时我们发现除了升级外修改phpMyAdmin的配置文件限制导出功能也很有效。具体是在config.inc.php中添加$cfg[ExecTimeLimit] 300; $cfg[Export][lock_tables] true;6. 漏洞利用的延伸思考这个漏洞的利用过程给我最大的启示是安全是一个链条任何一个环节的疏忽都可能导致全线崩溃。从最初的pre标签显示异常到最后的系统命令执行中间每个步骤都值得深入研究。在实际渗透测试中我经常遇到各种变体情况。比如有的环境禁用了INTO OUTFILE但可以通过日志文件写入Webshell有的服务器配置了严格的权限但可以通过慢查询日志实现渗透。关键是要灵活运用各种技术手段。记得有次特别有意思的案例目标系统所有防护都很完善但通过分析phpMyAdmin的错误日志我们发现了管理员的操作记录最终通过社会工程学完成了突破。这再次证明在安全领域技术手段和人的因素同样重要。
【漏洞剖析-phpmyadmin-SQL注入】CVE-2020-5504:从预格式化文本到Webshell的实战路径
发布时间:2026/6/11 12:31:54
1. 漏洞背景与环境搭建phpMyAdmin作为最流行的MySQL数据库管理工具之一长期受到安全研究人员的关注。CVE-2020-5504这个漏洞的特别之处在于它完美展示了如何将一个看似无害的前端显示问题转化为完整的服务器控制链条。我们先从实验环境搭建说起。Vulfocus靶场提供了完美的复现环境IP和端口配置简单明了。启动环境后你会看到一个标准的phpMyAdmin登录界面使用默认凭证root/123456即可进入。这里有个细节值得注意现代phpMyAdmin版本通常会强制修改默认密码但这个漏洞环境保留了原始配置这本身就是一种安全隐患。在实际渗透测试中我遇到过不少管理员图省事使用弱密码的情况。有次审计某企业系统时发现他们竟然用admin/123456管理着包含百万用户数据的数据库。这种安全意识薄弱的现象往往就是安全漏洞的开始。2. 漏洞触发点分析漏洞的核心在于pre标签的异常处理。这个HTML标签本意是用来展示预格式化文本比如代码片段。但在phpMyAdmin的特定版本中它成为了SQL注入的突破口。具体来说当我们在SQL查询界面输入SELECT pre;系统会原样输出这个标签而不是将其作为HTML元素渲染。这个现象看似普通实则暴露了关键问题——用户输入未经充分过滤就直接输出。我在测试时发现如果配合特定字符编码甚至可以绕过部分过滤机制。更危险的是phpMyAdmin的查询结果显示机制存在缺陷。当查询结果包含特定格式的字符串时会触发解析异常。有次我在客户现场测试就利用类似的特性成功注入了恶意脚本。3. 信息收集与路径探测成功的攻击往往建立在充分的信息收集基础上。在这个漏洞利用过程中我们需要获取两个关键路径MySQL数据目录SELECT datadir;MySQL安装路径SELECT basedir;在我的实战经验中不同系统的默认路径差异很大。比如CentOS通常是/var/lib/mysql而Windows服务器可能是C:\ProgramData\MySQL。有次遇到个特别的环境管理员把数据库放在了/home目录下花了我不少时间才找到。确认路径后可以用load_file函数验证网站绝对路径SELECT load_file(/var/www/html/pma/index.php);这个技巧我在多个渗透测试项目中都用过。记得有次目标系统返回了403错误但通过响应包大小差异4KB左右还是成功判断出了有效路径。4. 漏洞利用与Webshell写入掌握了路径信息后真正的攻击开始了。利用MySQL的INTO OUTFILE功能我们可以将PHP代码写入web目录SELECT ?php echo \pre\;system($_GET[\cmd\]); echo \/pre\; ? INTO OUTFILE /var/www/html/pma/shell.php这个操作有几个技术要点需要MySQL用户有FILE权限目标目录必须可写要避开可能的过滤机制我在某次红队演练中就遇到个棘手情况系统检测到?php字符串会自动拦截。后来改用短标签?加上base64编码才绕过防护。写入成功后通过访问shell.php就能执行系统命令了。比如列出/tmp目录http://target/pma/shell.php?cmdls/tmp5. 防御建议与修复方案站在防御者角度我有几点实用建议及时更新phpMyAdmin到最新版本限制MySQL用户的FILE权限配置open_basedir限制PHP访问范围对SQL查询结果进行严格的输出编码有次帮客户做安全加固时我们发现除了升级外修改phpMyAdmin的配置文件限制导出功能也很有效。具体是在config.inc.php中添加$cfg[ExecTimeLimit] 300; $cfg[Export][lock_tables] true;6. 漏洞利用的延伸思考这个漏洞的利用过程给我最大的启示是安全是一个链条任何一个环节的疏忽都可能导致全线崩溃。从最初的pre标签显示异常到最后的系统命令执行中间每个步骤都值得深入研究。在实际渗透测试中我经常遇到各种变体情况。比如有的环境禁用了INTO OUTFILE但可以通过日志文件写入Webshell有的服务器配置了严格的权限但可以通过慢查询日志实现渗透。关键是要灵活运用各种技术手段。记得有次特别有意思的案例目标系统所有防护都很完善但通过分析phpMyAdmin的错误日志我们发现了管理员的操作记录最终通过社会工程学完成了突破。这再次证明在安全领域技术手段和人的因素同样重要。
:Compose 中的动画 —— 从简单过渡到复杂交互引言:动画让应用活起来在之前的教程中,我们零散地使用过动画:点击按钮的缩放效果、列表项进入的淡入淡出)
