如何做网络网站推广,昆明专业网站建设公司,英雄联盟手游小程序被投诉,深圳宝安固戍小学网站建设Adminer是一个PHP编写的开源数据库管理工具#xff0c;支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。
在其版本1.12.0到4.6.2之间存在一处因为MySQL LOAD DATA LOCAL导致的文件读取漏洞。
参考链接#xff1a;
https://gith…
Adminer是一个PHP编写的开源数据库管理工具支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。
在其版本1.12.0到4.6.2之间存在一处因为MySQL LOAD DATA LOCAL导致的文件读取漏洞。
参考链接
https://github.com/p0dalirius/CVE-2021-43008-AdminerRead http://sansec.io/research/adminer-4.6.2-file-disclosure-vulnerability
1.使用[mysql-fake-server](https://github.com/4ra1n/mysql-fake-server)启动一个恶意的MySQL服务器。在Adminer登录页面中填写恶意服务地址和用户名fileread_/etc/passwd 2.已经收到客户端连接读取到的文件/etc/passwd已保存至当前目录的文件夹下面
