[ Обзор уязвимостей phpMyAdmin ]

Вопрос по эксплоиту CVE-2016-5734 https://www.exploit-db.com/exploits/40185/
Данный эксплоит для версий PhpMyAdmin 4.3.0 - 4.6.2, на моем сайте версия 4.0.10.15, она так же уязвима(просто эксплоит другой), эта уязвимость присутствует на моей версии, но эксплоит собрать, увы, не могу, по причине того что отсутствует файл /tbl_find_replace.php , на моей версии не было его еще.
Помогите, может кто сталкивался с подобным, в сторону какого файла копать, известно только как пофиксили багу на этой версии, https://github.com/phpmyadmin/phpmyadmin/commit/351019c
Какой конкретно файл цепляет libraries/tbl_columns_definition_form.inc.php, без понятия
подскажите пожалуйста, с пма вообще практически не знаком

 

Ребят что известно по поводу
phpMyAdmin PMASA-2017-8 Security Bypass Vulnerability
?

 

phpMyAdmin 4.8.x LFI to RCE (Authorization Required)

http://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/

 

под version 4.5.1 есть что ?

 

Расшифровка логина и пароля в cookie pmaUser-1 и pmaPass-1

Когда вход в phpMyAdmin осуществляется через ISPManager, сервер возвращает такие заголовки:

Code:

Set-Cookie:pmaPass-1=WwazS5W8AMLiKAjA%2FGglKg%3D%3D; path=/phpmyadmin/; httponly
Set-Cookie:pmaUser-1=4LIGuDEVD8XTNAQOvaGeCg%3D%3D; expires=Thu, 07-Apr-2016 17:50:34

Можно подставить эти cookie себе и успешно зайти в phpMyAdmin, но это неудобно, так как cookie могут умереть.

Сам файл отвечающий за эти cookie находится по пути /libraries/auth/cookie.auth.lib.php:

PHP:

 $GLOBALS['PHP_AUTH_PW'] = PMA_blowfish_decrypt($_COOKIE['pmaPass-' . $GLOBALS['server']],PMA_get_blowfish_secret());


Функция PMA_get_blowfish_secret() ищет соль в конфиге phpMyAdmin.

В том же файле есть такие строки:

PHP:

if ($GLOBALS['cfg']['LoginCookieRecall'] && !empty($GLOBALS['cfg']['blowfish_secret'])) {
        $default_user   = $GLOBALS['PHP_AUTH_USER'];
        $default_server = $GLOBALS['pma_auth_server'];
        $autocomplete   = '';
    }


Далее сам вывод:

PHP:

<input type="text" name="pma_username" id="input_username" value="<?php echo htmlspecialchars($default_user); ?>" size="24" class="textfield"/>

Алгоритм эксплуатации:
1) Перехватываем cookie (XSS, memory leak и т.д.)
2) Вставляем cookie pmaUser-1 и несколько раз обновляем страницу авторизации, получаем расшифрованный логин
3) Меняем значение cookie pmaUser-1 на значение из перехваченного pmaPass-1 и несколько раз обновляем страницу авторизации, получаем расшифрованный пароль

В посте представлены исходники phpMyAdmin 3.5.0, соответственно, тестировалось тоже на нем. Но думаю это есть во многих версиях, если но во всех. В роли генератора выступил ISPManager 4 Lite.

P.S. В google не нашел как их расшифровать, видимо информация пока неизвестная или слишком очевидная. Уязвимостью это назвать сложно, так как эти cookie сначала надо перехватить.