这篇文章主要介绍了宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

前言

2020 年 8 月 23 日的晚上
群里突然有个管理员艾特全体 说宝塔出漏洞了!
赶紧更新吧。

漏洞信息

宝塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授权访问漏洞
漏洞未 phpmyadmin 未鉴权,可通过特定地址直接登录数据库的漏洞。
漏洞 URL:ip:888/pma 即可直接登录(但要求必须安装了 phpmyadmin)

漏洞分析

接下来步入正题
其实这个目录在 7.4.2 之前的版本是没有的 在更新宝塔 7.4.2 之后才出现的
以下是 PMA 目录下的部分代码分析 config.inc.php

宝塔的 phpmyadmin 目录 config.inc.php

大家发现有什么不同了吗?

第一个是利用账号密码来登录 而且 这个目录我想应该是官方疏了
一旦在早期版本安装了 phpmyadmin 的时候 他更新到宝塔 7.4.2 之后 会自动生成一个 PMA 目录 里面就保存宝塔的数据库账号密码第二个是初始的宝塔数据库登录后台
利用 cookie 来实现登录 如果你登录了宝塔 直接在数据库里面进入 是不用输入账号密码的
如果是没登录宝塔 由于这数据库生成的目录是随机的 除非你扫目录 要不然 永远找不到那个目录!

修复方法

1. 更新到宝塔 7.4.3 版本 后再测试一次 IP:888/pma 如果提示 404 那就代表修复了
2. 如果不想更新到最新版的话 请进入目录 /www/server/phpmyadmin/ 里面 把 PMA 目录删掉即可
3. 记得定期备份好数据 毕竟数据一旦丢了 就很大几率没法恢复!
4. 官方公告 https://www.bt.cn/bbs/thread-54666-1-1.htm...

结语:

在看到官方群 BUG 第一时间更新,已处理这个问题,检查服务器日志,一切正常。

到此这篇关于宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的文章就介绍到这了,更多相关宝塔未授权访问漏洞内容请搜索爱安网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持爱安网!

最新资讯
微信“戒烟”背后:北京市控烟协会曾给马化腾写信

微信“戒烟”背后:北京

北京市控烟协会就一直跟踪和关注此事,腾讯公司的这个决
飞车要来了?吉利科技沃飞长空:2024年前后投放中国市场

飞车要来了?吉利科技沃

打到一辆空中出租车还要多久?或许三年后就可以通过吉利
2021年“全球十大突破性技术”公布:mRNA疫苗、多技能AI等上榜

2021年“全球十大突破

日前,《麻省理工科技评论》2021“全球十大突破性技术”
引入深圳国资战略股东,苏宁易购还在张近东手里

引入深圳国资战略股东

2月28日晚,苏宁易购发布公告表示,公司引入深国际、鲲鹏
疯狂的赌徒,货拉拉创始人的神秘发家史

疯狂的赌徒,货拉拉创始

对公司经营行为负有最大责任的CEO周胜馥,到底是怎么发
最新文章
宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析

宝塔面板 phpmyadmin

这篇文章主要介绍了宝塔面板 phpmyadmin 未授权访问漏
CPU幽灵和熔断漏洞是什么?Intel为大家简单易懂的科普了一番

CPU幽灵和熔断漏洞是

不久前让整全行业紧张、全球用户恐慌的Spectre幽灵、M
解析文件上传漏洞 从FCKEditor文件上传漏洞谈起

解析文件上传漏洞 从F

大部分的用户可能不要了解文件上传漏洞,下面小编就为大
手把手教你如何构造Office漏洞POC(以CVE-2012-0158为例)

手把手教你如何构造Of

近年来APT追踪盛行,最常见的就是各种以钓鱼开始的攻击
漏洞 自动化脚本 论漏洞和自动化脚本的区别

漏洞 自动化脚本 论漏

漏洞无处不在,它是在硬件、软件、协议的具体实现或系统
Python 爬虫修养-处理动态网页

Python 爬虫修养-处理

在爬虫开发中,大家可以很轻易地 bypass 所谓的 UA 限制