宝塔phpmyadmin无鉴权访问

白色键盘 1.5K 0

前言

宝塔,简称bt,是国内博客、政务、中小型企业广泛使用的一款网站管理面板
因为建站方便,管理简单,国内使用的还挺多的,但是就在最近爆出了一个意想不到的漏洞(后门??)

最近被一张图刷爆朋友圈


都2099年了,还有人这么干,我也是服了[aru_26]

利用方法:http://ip:888/pma 可直接访问到phpmyadmin

影响版本Linux面板7.4.2、Windows面板6.8

借用下其他大佬的图
路径/www/server/phpmyadmin/pma/config.inc.php
宝塔phpmyadmin无鉴权访问
路径/www/server/phpmyadmin/config.inc.php
宝塔phpmyadmin无鉴权访问
很明显pma目录下的config.inc.php配置好了数据库的账号密码,phpmyadmin的配置文件被修改了认证方式,无需认证直接传入账号密码,即刻访问
phpmyadmin下的config.inc.php采用了后台cookie认证,必须要先访问到宝塔后台,才能访问到phpmyadmin

自己也批量验证了一下漏洞,这次中招的还挺多的

宝塔phpmyadmin无鉴权访问

发表评论 取消回复
表情 图片 链接 代码

分享