Adminer

CVE-2021-21311

Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。

在其4.0.0到4.7.9版本之间,连接 ElasticSearch 和 ClickHouse 数据库时存在一处服务端请求伪造漏洞(SSRF)。

在Adminer登录页面,选择ElasticSearch作为系统目标,并在server字段填写example.com,点击登录即可看到example.com返回的400错误页面展示在页面中

image-20241117114119383

image-20241117114138678

SSRF漏洞(原理、挖掘点、漏洞利用、修复建议) - Saint_Michael - 博客园

7.1.常用绕过方法

  1.@          http://abc.com@127.0.0.1

  2.添加端口号      http://127.0.0.1:8080

  3.短地址        https://0x9.me/cuGfD 推荐:http://tool.chinaz.com/tools/dwz.aspx、https://dwz.cn/

  4.可以指向任意ip的域名  xip.io 原理是DNS解析。xip.io可以指向任意域名,即127.0.0.1.xip.io,可解析为127.0.0.1

  5.ip地址转换成进制来访问 192.168.0.1=3232235521(十进制)

  6.非HTTP协议

  7.DNS Rebinding

  8.利用[::]绕过 http://[::]:80/ >>> http://127.0.0.1

  9.句号绕过 127。0。0。1 >>> 127.0.0.1

  10.利用302跳转绕过

6.6. file协议读取本地文件

这里的构成可以通过 url参数接收,去尝试请求内网资源

Windows:

http://localhost/ssrf.php?url=file:///c:\\windows\\csup.txt

Linux:

http://localhost/ssrf.php?url=file:////etc/csup.txt

CVE-2021-43008

在其版本1.12.0到4.6.2之间存在一处因为MySQL LOAD DATA LOCAL导致的文件读取漏洞。

img

使用mysql-fake-server启动一个恶意的MySQL服务器。在Adminer登录页面中填写恶意服务地址和用户名fileread_/etc/passwd

然后文件会被下载到本地,复现成功。