周日晚，某群里突然發(fā)布了一則消息，寶塔面板的phpmyadmin存在未授權訪問漏洞的緊急漏洞預警，并給出了一大批存在漏洞的URL：

創(chuàng)新互聯(lián)建站專注于疏附網站建設服務及定制，我們擁有豐富的企業(yè)做網站經驗。 熱誠為您提供疏附營銷型網站建設，疏附網站制作、疏附網頁設計、疏附網站官網定制、成都微信小程序服務，打造疏附網絡公司原創(chuàng)品牌,更為您提供疏附網站排名全網營銷落地服務。

隨便點開其中一個，赫然就是一個大大的phpmyadmin后臺管理頁面，無需任何認證與登錄。當然，隨后各種神圖神事也都刷爆了社交網絡，作為一個冷靜安全研究者，我對此當然是一笑置之，但是這個漏洞的原因我還是頗感興趣的，所以本文我們就來考證一下整件事情的緣由。

一、我們的問題究竟是什么？

首先，我先給出一個結論：這件事情絕對不是簡簡單單地有一個pma目錄忘記刪除了，或者寶塔面板疏忽大意進行了錯誤地配置，更不是像某些人陰謀論中說到的官方刻意留的后門。

我為什么這么說？首先，根據官方的說法，這個漏洞只影響如下版本：

Linux正式版7.4.2

Linux測試版7.5.13

Windows正式版6.8

這個版本就是最新版（漏洞修復版）的前一個版本。也就是說，這個確定的小版本之前的版本面板是不受影響的。我們試想一下，如果是“后門”或者官方忘記刪除的目錄，為什么只影響這一個版本呢？況且寶塔面板發(fā)展了這么久，積累了400萬用戶，體系安全性也相對比較成熟，如果存在這么低劣的錯誤或“后門”，也應該早就被發(fā)現(xiàn)了。

經過實際查看互聯(lián)網上的案例和詢問使用了寶塔面板的朋友，我發(fā)現(xiàn)在7.4.2以前的版本中沒有pma這個目錄，并且phpmyadmin默認情況下認證方法是需要輸入賬號密碼的。所以，寶塔出現(xiàn)這個漏洞，一定是做過了下面這兩件事：

新增了一個pma目錄，內容phpmyadmin

phpmyadmin的配置文件被修改了認證方式

那么，我們的問題就變成了，官方為什么要做這兩處修改，目的究竟是什么？

為了研究這個問題，我們需要先安裝一個寶塔7.4.2版本。但是，寶塔的安裝是一個傻瓜化的一鍵化腳本：

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

并沒有給到用戶一個可以選擇版本號的選項，官方的Git也許久沒更新了，我們如何才能安裝到一個合適的版本（7.4.2）呢？

二、安裝一個合適的版本

這當然難不倒我。首先，我安裝了最新版的寶塔面板，用的就是上述一鍵化腳本。

安裝的過程自然沒什么問題，安裝完成后，系統(tǒng)顯示的版本號是最新版7.4.3，因為在爆出這個漏洞以后，官方迅速進行了修復升級。不過沒關系，我們仍然可以找到離線升級包：

http://download.bt.cn/install/update/LinuxPanel-7.4.0.zip
http://download.bt.cn/install/update/LinuxPanel-7.4.2.zip
http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip

分別是7.4.0/7.4.2/7.4.3的版本，我們分別下載并解壓，并嘗試將自己的服務器版本恢復成漏洞版本7.4.2。

在恢復代碼之前，我們先將服務器斷網，或者將寶塔設置成離線模式：

這么做的目的是防止寶塔進行自動版本更新，避免好不容易恢復的代碼又自動升級了。

寶塔系統(tǒng)代碼默認安裝完是在/www/server/panel，接著我們直接將將壓縮包內的panel目錄上傳到這里來，覆蓋掉已有的文件。重啟下寶塔，即可發(fā)現(xiàn)系統(tǒng)版本號已經恢復成7.4.2了：

還沒完，我們使用beyond compare打開7.4.2和7.4.3的壓縮包代碼，先看看官方是怎么修復的漏洞：

比較粗暴，直接判斷目錄/www/server/phpmyadmin/pma是否存在，如果存在就直接刪掉。所以，我們雖然恢復了系統(tǒng)版本代碼，但刪掉的pma已經不在了，我們還需要恢復一下這個目錄。

方法也很簡單，/www/server/phpmyadmin下本身存在一個phpmyadmin目錄，我們直接復制一下這個目錄即可：

三、漏洞究竟是怎么回事

有了環(huán)境，我們仍需看看代碼。

首先，由于7.4.2是引入漏洞的版本，我們看看官方對7.4.2的更新日志：

用beyond compare打開7.4.0和7.4.2的壓縮包代碼，看看具體增加了哪些代碼：

可見，在7.4.2版本中增加了兩個視圖，分別對應著phpmyadmin和adminer。視圖中用到了panelPHP#start方法，這個方法其實也是新加的：

def start(self,puri,document_root,last_path = ''):
        '''
            @name 開始處理PHP請求
            @author hwliang<2020-07-11>
            @param puri string(URI地址)
            @return socket or Response
        '''
        ...
        #如果是PHP文件
        if puri[-4:] == '.php':
            if  request.path.find('/phpmyadmin/') != -1:
                ...
                if request.method == 'POST':
                    #登錄phpmyadmin
                    if puri in ['index.php','/index.php']:
                        content = public.url_encode(request.form.to_dict())
                        if not isinstance(content,bytes):
                            content = content.encode()
                        self.re_io = StringIO(content)
                        username = request.form.get('pma_username')
                        if username:
                            password = request.form.get('pma_password')
                            if not self.write_pma_passwd(username,password):
 return Resp('未安裝phpmyadmin')
                if puri in ['logout.php','/logout.php']:
                    self.write_pma_passwd(None,None)
            else:
                ...
      #如果是靜態(tài)文件
        return send_file(filename)

代碼太長，我們不展開分析，只我寫出來的部分。在請求的路徑是/phpmyadmin/index.php且存在pma_username、pma_password時，則執(zhí)行self.write_pma_passwd(username,password)。

跟進self.write_pma_passwd：

def write_pma_passwd(self,username,password):
        '''
            @name 寫入mysql帳號密碼到配置文件
            @author hwliang<2020-07-13>
            @param username string(用戶名)
            @param password string(密碼)
            @return bool
        '''
        self.check_phpmyadmin_phpversion()
        pconfig = 'cookie'
        if username:
            pconfig = 'config'
        pma_path = '/www/server/phpmyadmin/'
        pma_config_file = os.path.join(pma_path,'pma/config.inc.php')
        conf = public.readFile(pma_config_file)
        if not conf: return False
        rep = r"/\\* Authentication type \\*/(.|\\n)+/\\* Server parameters \\*/"
        rstr = '''/* Authentication type */
$cfg['Servers'][$i]['auth_type'] = '{}';
$cfg['Servers'][$i]['host'] = 'localhost'; 
$cfg['Servers'][$i]['port'] = '{}';
$cfg['Servers'][$i]['user'] = '{}'; 
$cfg['Servers'][$i]['password'] = '{}'; 
/* Server parameters */'''.format(pconfig,self.get_mysql_port(),username,password)
        conf = re.sub(rep,rstr,conf)
        public.writeFile(pma_config_file,conf)
        return True

這個代碼也很好理解了，如果傳入了username和password的情況下，寶塔會改寫phpmyadmin的配置文件config.inc.php，將認證方式改成config，并寫死賬號密碼。

這就是為什么7.4.2版本中pma可以直接訪問的原因。

補個課：

phpmyadmin支持數(shù)種認證方法，默認情況下是Cookie認證，此時需要輸入賬號密碼；用戶也可以將認證方式修改成Config認證，此時phpmyadmin會使用配置文件中的賬號密碼來連接mysql數(shù)據庫，即不用再輸入賬號密碼。

四、官方做這些動作的原因

其實各位看官看到這里肯定腦子里還是一團漿糊，這些代碼究竟意味著什么呢？為什么官方要將認證模式改成config模式？

是很多漏洞分析文章的通病，這些文章在出現(xiàn)漏洞后跟一遍漏洞代碼，找到漏洞發(fā)生點和利用方法就結束了，并沒有深入研究開發(fā)為什么會這么寫，那么下次你還是挖不出漏洞。

所以，這里思考一下，我們現(xiàn)在起碼還有下列疑問：

在7.4.2版本以前，用戶是如何使用phpmyadmin的？

寶塔為什么要在7.4.2版本增加phpmyadmin有關的視圖？

寶塔為什么要將phpmyadmin認證模式改成config？

我們如何復現(xiàn)這個漏洞？

第一個問題，我們其實可以簡單找到答案。在正常安裝寶塔最新版7.4.3時，我們點擊寶塔后臺的phpmyadmin鏈接，會訪問到這樣一個路徑：

7.4.3版本為了修復這個漏洞，回滾了部分代碼，所以這種方式其實就是7.4.2以前版本的phpmyadmin的訪問方式：通過888端口下的一個以phpmyadmin_開頭的文件夾直接訪問phpmyadmin。

這種老的訪問方法中，888端口是一個單獨的Nginx或Apache服務器，整個東西是安全的，訪問也需要輸入賬號密碼。

但是這種訪問方法有些麻煩，需要額外開放888端口，而且每次登陸都要重新輸入密碼。所以，官方開發(fā)人員提出了一種新的做法，在寶塔后端的python層面轉發(fā)用戶對phpmyadmin的請求給php-fpm。這樣有三個好處：

直接在python層面做用戶認證，和寶塔的用戶認證進行統(tǒng)一，不需要多次輸入mysql密碼

也不需要再對外開放888端口了

使用phpmyadmin也不再依賴于Nginx/Apache等服務器中間件了

這就是為什么寶塔要在7.4.2增加phpmyadmin有關的視圖的原因，這個視圖就是一個phpmyadmin的代理，做的事情就是轉發(fā)用戶的請求給php-fpm。

用戶在第一次使用這種方式登錄時，系統(tǒng)會自動發(fā)送包含了Mysql賬號密碼的數(shù)據包，寶塔后端會捕捉到此時的賬號密碼，填入phpmyadmin的配置文件，并將認證方式改成config。對于用戶來說，感受到的體驗就是，不再需要輸入任何Mysql密碼即可使用phpmyadmin了。

這的確給用戶的使用帶來了更好的體驗。

五、漏洞復現(xiàn)

此時我們應該還有個疑問：既然官方目的是“直接在python層面做用戶認證，和寶塔的用戶認證進行統(tǒng)一”，那么仍然是有認證的呀？為什么會出現(xiàn)未授權訪問漏洞呢？

我們可以來復現(xiàn)一下這個漏洞。首先，我們以系統(tǒng)管理員的身份登錄寶塔后臺，來到數(shù)據庫頁面，點擊“phpMyAdmin”按鈕，會彈出如下模態(tài)框：

這個里面有兩種訪問模式，“通過Nginx/Apache/OIs訪問”是老版本的訪問方式，“通過面板安全訪問”就是7.4.2新增加的代理模式。

我們點擊“通過面板安全訪問”，并抓包，會抓到這樣一個數(shù)據包：

寶塔前端將我們的Mysql賬號密碼填好了直接發(fā)給phpmyadmin。又因為我們前面分析過的那段代碼，后臺將賬號密碼直接寫入了phpmyadmin配置文件，來做到免認證的邏輯。

如果一個未認證的用戶，直接訪問http://ip:8888/phpmyadmin/index.php呢？會被直接重定向到登錄頁面：

如果僅僅是這樣，這個過程是不存在漏洞的。但是，官方開發(fā)人員犯了一個錯誤，他將pma應用放在了/www/server/phpmyadmin目錄下，而這個目錄原本是老的phpmyadmin訪問方式所使用的Web根目錄。

這意味著，我通過老的888端口+pma目錄，可以訪問到新的phpmyadmin，而新的phpmyadmin又被官方修改了配置文件，最終導致了未授權訪問漏洞：

所以，如何解決這個問題呢？也很簡單，只需要將pma移到其他目錄去即可。

六、總結

我們來做個總結。

首先，寶塔面板絕對不是弱智，這個漏洞不是簡簡單單的放了一個未授權的pma在外面忘記刪。這其實會打很多人臉，因為大部分人認為這只是個簡單的phpmyadmin未授權訪問漏洞，并對寶塔進行了一頓diss，沒有想到這后面其實是一個復雜的邏輯錯誤。

其次，用戶體驗和安全絕對是不沖突的，我十分不喜歡為了保障安全而閹割用戶體驗的做法。所以希望寶塔官方不會因為這次的漏洞事件而徹底將代碼回滾（據說7.4.3的更新只是臨時解決方案），該改進的地方還是要改進。

我有數(shù)年不再使用Linux面板了，這次也算重新體驗了一下2020年的Linux面板，個人感覺寶塔看外在其實是一個比較注重安全的系統(tǒng)，比如自動生成的用戶密碼、用戶名和密碼的策略、默認的Php安全配置、自動的版本更新等等，相比于很多國內其他的商業(yè)系統(tǒng)，絕對屬于有過之而無不及了。但是看代碼其實需要改進的地方還有很多，這個以后有機會再細說吧。

本文來自公眾號：https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

新聞名稱：寶塔面板phpMyAdmin未授權訪問安全漏洞是個低級錯誤嗎？
標題網址：http://chinadenli.net/article28/cjjhjp.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供營銷型網站建設、電子商務、定制網站、品牌網站建設、用戶體驗、標簽優(yōu)化

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)