1. 漏洞背景与环境搭建phpMyAdmin作为最流行的MySQL数据库管理工具之一其安全性直接影响数百万网站的数据安全。2018年爆出的4.8.1版本文件包含漏洞源于index.php和Core.php中checkPageValidity()函数的校验缺陷。这个漏洞允许攻击者通过精心构造的URL参数实现任意文件包含轻则泄露敏感数据重则执行系统命令。搭建复现环境时我推荐使用phpStudy集成环境它能快速配置PHPMySQL组合。具体步骤下载phpMyAdmin 4.8.1源码包解压到网站根目录启动Apache和MySQL服务后访问http://localhost/phpMyAdmin可能会遇到空白页面问题这时需要修改libraries/config.default.php中的$cfg[blowfish_secret]值比如设置为this_is_a_32_char_long_secret_key长度必须≥32字符注意复现漏洞时建议使用虚拟机环境避免对真实系统造成影响。我曾因为忘记关闭外网访问权限导致测试服务器被自动化扫描工具攻击。2. 漏洞原理深度解析2.1 关键代码审计漏洞的核心在于index.php对target参数的处理逻辑。当访问index.php?targetxxx时代码会检查以下条件参数非空且为字符串不以index开头不在黑名单如import.php通过checkPageValidity()验证问题出在Core.php的校验函数中。该函数有三种验证路径直接匹配白名单如db_datadict.php对参数进行mb_substr截取后匹配白名单对参数进行双重URL解码后再截取匹配重点在于第三种路径的校验缺陷。当传入db_datadict.php%253f../../../../etc/passwd时服务器自动解码一次%253f→%3furldecode()再解码一次%3f→?最终校验时实际检查的是db_datadict.php?而?后的路径穿越符被巧妙绕过2.2 攻击向量构造我通过实际测试发现两种有效攻击方式目录穿越包含http://localhost/phpMyAdmin/index.php?targetdb_datadict.php%253f/../../../../Windows/win.ini这种写法可以逐级跳转目录包含系统任意文件。在Windows环境下测试时最多需要../../../../../../../../才能到达根目录。Session文件利用先执行SQL语句SELECT ?php system(whoami);?在临时目录如/tmp/sess_xxx生成包含PHP代码的session文件通过漏洞包含该session文件实现RCE3. 实战攻防演练3.1 攻击者视角在CTF比赛中这类漏洞常与其他弱点组合利用。以HCTF 2018的Warmup题目为例查看源码发现source.php提示审计源码发现文件包含点结合hint.php的线索构造payloadhttp://target.com/source.php?filesource.php%253f/../../../../ffffllllaaaagggg这种利用方式与phpMyAdmin漏洞如出一辙都是通过双重编码绕过校验。3.2 防御者对策根据实战经验我总结出三级防御方案代码层修复补丁核心是严格校验文件路径禁止包含目录穿越符建议使用realpath()解析绝对路径并检查是否在白名单目录下服务器配置# 在httpd.conf中添加 php_admin_value open_basedir /var/www/html:/tmp限制PHP只能访问指定目录即使漏洞被利用也无法读取系统关键文件。运维监控使用OSSEC等工具监控/tmp目录下可疑的session文件对phpMyAdmin的访问日志设置告警规则过滤包含%253f的异常请求4. 现代环境下的思考虽然这是历史漏洞但其中暴露的安全问题至今仍有警示意义。我在2023年的渗透测试中仍发现过类似逻辑的文件包含漏洞。开发者常犯的几个错误过度信任用户输入的路径参数使用黑名单而非白名单机制没有考虑编码绕过的可能性对于安全研究人员我建议重点审计以下代码模式include($_GET[file] . .php); file_get_contents($user_input);这类动态包含操作必须配合严格的路径检查和过滤机制。
