时间:2021-05-23
前言
2020 年 8 月 23 日的晚上
群里突然有个管理员艾特全体 说宝塔出漏洞了!
赶紧更新吧。
漏洞信息
宝塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授权访问漏洞
漏洞未 phpmyadmin 未鉴权,可通过特定地址直接登录数据库的漏洞。
漏洞 URL:ip:888/pma 即可直接登录(但要求必须安装了 phpmyadmin)
漏洞分析
接下来步入正题
其实这个目录在 7.4.2 之前的版本是没有的 在更新宝塔 7.4.2 之后才出现的
以下是 PMA 目录下的部分代码分析 config.inc.php
宝塔的 phpmyadmin 目录 config.inc.php
大家发现有什么不同了吗?
第一个是利用账号密码来登录 而且 这个目录我想应该是官方疏了
一旦在早期版本安装了 phpmyadmin 的时候 他更新到宝塔 7.4.2 之后 会自动生成一个 PMA 目录 里面就保存宝塔的数据库账号密码第二个是初始的宝塔数据库登录后台
利用 cookie 来实现登录 如果你登录了宝塔 直接在数据库里面进入 是不用输入账号密码的
如果是没登录宝塔 由于这数据库生成的目录是随机的 除非你扫目录 要不然 永远找不到那个目录!
修复方法
1. 更新到宝塔 7.4.3 版本 后再测试一次 IP:888/pma 如果提示 404 那就代表修复了
2. 如果不想更新到最新版的话 请进入目录 /www/server/phpmyadmin/ 里面 把 PMA 目录删掉即可
3. 记得定期备份好数据 毕竟数据一旦丢了 就很大几率没法恢复!
4. 官方公告 https:///bbs/thread-54666-1-1.htm...
结语:
在看到官方群 BUG 第一时间更新,已处理这个问题,检查服务器日志,一切正常。
到此这篇关于宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的文章就介绍到这了,更多相关宝塔未授权访问漏洞内容请搜索以前的文章或继续浏览下面的相关文章,希望大家以后多多支持!
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
前言今天下午,宝塔被爆出Linux面板7.4.2或者7.5.14版本和Windows6.8存在严重漏洞!只需要ip:888/pma即可绕开用户验证直接进去网站数
昨日,宝塔面板被曝出存在严重安全漏洞,目前官方已经给宝塔面板用户发送短信提醒升级,影响范围包括了宝塔linux面板7.4.2以及宝塔windows面板6.8。昨
在宝塔面板里装完phpmyadmin但是进不去数据库的这种情况太常见了,很多人都买了服务器,装完了宝塔面板,但是十个人得有八个人进不去phpmyadmin,我总
宝塔微信小程序目前只支持宝塔linux面板,可以关联绑定多台服务器,单台服务器也可以授权多个微信用户绑定,拥有服务器监控功能以及安全扫码登录面板功能,方便用户随
目录0x01、安装宝塔面板0x02、开启服务器端口0x03、打开浏览器,登录到宝塔面板0x01、安装宝塔面板宝塔面板是一个非常简单易用的服务器运维面板,可视化面