phpMyadmin各版本漏洞
时间:2022-03-14 作者:xishaonian
一: 影响版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 域名
概述:PhpMyAdmin存在PREGREPLACEEVAL漏洞
利用模块:exploit/multi/http/phpmyadminpregreplace CVE: CVE-2013-3238
二: 影响版本:phpMyAdmin v3.5.2.2
概述:PhpMyAdmin存在server域名 后门漏洞
利用模块:exploit/multi/http/phpmyadmin3522_backdoor CVE: CVE-2012-5159
三: 影响版本: 域名.x < 域名.9.5 and 3.x < 3.1.3.1;
概述:PhpMyAdmin配置文件/config/域名存在命令执行
利用模块:exploit/unix/webapp/phpmyadmin_config CVE: CVE-2009-1151
四:影响版本:域名.3 / 域名.4
利用方法:用户名处写入\\'localhost\\'@\\'@"则登录成功。 (注意全部是英文标点符号,最后一个为英文双引号)
五:影响版本:2.8.0.3
phpmyadmin配合phpinfo getshell
https://域名/thread-37889-1-域名
附上几个php爆绝对路径的办法:
phpMyAdmin/libraries/select域名
phpMyAdmin/darkblueorange/域名 phpMyAdmin/域名?lang[]=1
phpmyadmin/themes/darkblue_orange/域名