2020 年 8 月 23 日的晚上
群里突然有個管理員艾特全體 說寶塔出漏洞了！
趕緊更新吧。

漏洞信息

寶塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授權(quán)訪問漏洞
漏洞未 phpmyadmin 未鑒權(quán)，可通過特定地址直接登錄數(shù)據(jù)庫的漏洞。
漏洞 URL：ip:888/pma 即可直接登錄（但要求必須安裝了 phpmyadmin）

漏洞分析

接下來步入正題
其實這個目錄在 7.4.2 之前的版本是沒有的 在更新寶塔 7.4.2 之后才出現(xiàn)的
以下是 PMA 目錄下的部分代碼分析 config.inc.php

寶塔的 phpmyadmin 目錄 config.inc.php

大家發(fā)現(xiàn)有什么不同了嗎？

第一個是利用賬號密碼來登錄 而且 這個目錄我想應(yīng)該是官方疏了
一旦在早期版本安裝了 phpmyadmin 的時候 他更新到寶塔 7.4.2 之后 會自動生成一個 PMA 目錄 里面就保存寶塔的數(shù)據(jù)庫賬號密碼第二個是初始的寶塔數(shù)據(jù)庫登錄后臺
利用 cookie 來實現(xiàn)登錄 如果你登錄了寶塔 直接在數(shù)據(jù)庫里面進入 是不用輸入賬號密碼的
如果是沒登錄寶塔 由于這數(shù)據(jù)庫生成的目錄是隨機的 除非你掃目錄 要不然 永遠找不到那個目錄！

修復(fù)方法

1. 更新到寶塔 7.4.3 版本 后再測試一次 IP:888/pma 如果提示 404 那就代表修復(fù)了
2. 如果不想更新到最新版的話 請進入目錄 /www/server/phpmyadmin/ 里面 把 PMA 目錄刪掉即可
3. 記得定期備份好數(shù)據(jù) 畢竟數(shù)據(jù)一旦丟了 就很大幾率沒法恢復(fù)！
4. 官方公告 https://www.bt.cn/bbs/thread-54666-1-1.htm...

結(jié)語：

在看到官方群 BUG 第一時間更新，已處理這個問題，檢查服務(wù)器日志，一切正常。

到此這篇關(guān)于寶塔面板 phpmyadmin 未授權(quán)訪問漏洞 BUG ip:888/pma的文章就介紹到這了,更多相關(guān)寶塔未授權(quán)訪問漏洞內(nèi)容請搜索本站以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持本站！

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。