phpMyAdmin的robots.txt安全性漏洞

imes 12天前 7

这个其实是autoindex的锅,属于使用者太小白,分享出来是为了图个乐子。
---------------------
事情的起因是因为我发现网站后台的nginx报错信息里面有一项很奇怪的phpMyAdmin访问请求,关键在于我并没有安装,甚至于数据库接口都强制内网。所以好奇搜索了一下,发现问题有点大。看来phpMyAdmin置于Linux等于flash置于Windows的角色。
在谷歌搜索中输入site:*/phpmyadmin/robots.txt,得到下图:

意选择一个,点击进去,此时的url为domain.com/phpMyAdmin/robots.txt,到目前为止,似乎一切正常。
关键的一步是返回上级目录,即主动访问domain.com/phpMyAdmin/,整个文件列表就都出来了。

把关注点放到config.inc.php上,即phpMyAdmin的配置文件,得到数据库用户和密码

考虑到此网站本身的使用WordPress,上溯一个目录得到wp-config.php,得到配置文件以及加盐的验证。

-----------------------
事情本身没有什么,一个禁止访问和过滤规则就可以避免了,但是免不了新手不知道或者误操作了,算是一个很有趣的例子。
集市上,还可以通过试探ico来实现类似的效果。
建议小白mjj自己试试自己的phpmyadmin目录,希望网站没事
最新回复 (12)
  • lovedva 12天前
    引用 2
    我觉得这不是phpmyadmin的问题,是他自己手贱开了autoindex
  • bet 12天前
    引用 3
    没装pma
  • 1016797313 12天前
    引用 4
    膜拜大佬
  • host5217 12天前
    引用 5
    最好是不用这类软件,数据库的相关东西最好都强制内网,redis同理
  • 榆木 12天前
    引用 6
    说实话 和 phpmyadmin的关系不大。
  • laoxong 12天前
    引用 7
    我禁用了显示文件列表
  • 楼主 imes 12天前
    引用 8
    榆木 发表于 2021-2-21 11:28
    说实话 和 phpmyadmin的关系不大。
    对,关键还是因为太小白
  • majianyu 12天前
    引用 9
    apache .htaccess加一行Options -Indexes
  • victor_ada 12天前
    引用 10
    得需要cookie才能登录
  • 榆木 12天前
    引用 11
    imes 发表于 2021-2-21 11:31
    对,关键还是因为太小白
    既然你能访问到php原文内容,只能说明他本来网站就是不能正常访问的。既php没配置好。 加上开启了列目录 自然能得到所有源码 更扯不上与phpmyadmin有一毛钱关系。
  • 楼主 imes 12天前
    引用 12
    majianyu 发表于 2021-2-21 11:32
    apache .htaccess加一行Options -Indexes
    autoindex的锅,通过pma被发现了,其实通过ico也能被试探出来,这锅得使用者背。
  • 楼主 imes 12天前
    引用 13
    榆木 发表于 2021-2-21 11:33
    既然你能访问到php原文内容,只能说明他本来网站就是不能正常访问的。既php没配置好。 加上开启了列目录  ...
    对,所以最后说了,因为太小白才会出现这种情况,就图个乐子
  • 游客
    14
返回