phpmyadmin配置不当导致google hack技巧 | wooyun-2013-019109

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2013-019109

漏洞标题：

phpmyadmin配置不当导致google hack技巧

漏洞详情

披露状态：

2013-02-26：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-02-26：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

如题

详细说明：

google
inurl:sql.php 知名架构数据库名字如 dede phpcms
inurl:tbl_structure.php 任何你想到的。
例子：
inurl:tbl_structure.php love
第一个链接

http://www.love-***.com/my/sql.php?db=ecshop&lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_general_ci&token=a9bf48954d59c98098ba16944b0b8449&table=ecs_stats&goto=tbl_structure.php

谷歌Pr 还挺高，达到了6

漏洞证明：

phpmyadmin很多的都是root权限，获取shell 轻而易举
phpmyadmin 暴路径 weburl+phpmyadmin/themes/darkblue_orange/layout.inc.php

修复方案：

漏洞原因在于配置phpmyadmin时使用了无密码可登陆。
正确配置即可

版权声明：转载请注明来源 botak@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞