php打开网页执行即执行bat程序_CVE202011107:XAMPP任意命令执行漏洞复现

f0407f1f9ab95d9f5eb159d36f725e74.png

0x00简介

XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。该软件与phpstudy类似。

2020年4月1日ApacheFriends官方发布了XAMPP新版本,该更新解决了Windows Platforms CVE-2020-11107中的安全问题,低于7.2.29、7.3.16和7.4.4的XAMPP Windows版本允许无特权的用户访问和修改其编辑器和浏览器配置。攻击者可能会修改“ xampp-contol.ini”,将其设置为恶意.exe或.bat文件的值,该文件将在其他用户尝试通过控制面板打开文件后执行。目前此问题不会影响Linux或OS X平台。

f0407f1f9ab95d9f5eb159d36f725e74.png

0x01 漏洞描述

在windows下,XAMPP允许非管理员账号访问和修改其编辑器和浏览器的配置,编辑器的默认配置为notepad.exe,一旦修改配置后,则对应的每个可以访问XAMPP控制面板的用户都更改了配置。当攻击者将编辑器的值设置为恶意的.exe文件或.bat文件,与此同时如果有管理员账号通过XAMPP控制面板查看apache的日志文件,便会执行恶意的.exe文件或.bat文件,以此达到任意命令执行。

f0407f1f9ab95d9f5eb159d36f725e74.png

0x02 影响范围

Apache Friends XAMPP <7.2.29 

Apache Friends XAMPP 7.3.*,<7.3.16 

Apache Friends XAMPP 7.4.*,<7.4.4

f0407f1f9ab95d9f5eb159d36f725e74.png

0x03环境搭建

● 漏洞环境:

1.准备一台装有window系统的虚拟机,本次复现以windows10系统为例。 
2.下载XAMPP,本次复现以7.2.25版本为例,下载地址:链接:https://pan.baidu.com/s/1U2w-5cIysbEIwtF9YYfOsQ 提取码:oi88
其他漏洞版本下载地址:https://sourceforge.net/projects/xampp/files/

● 环境安装和配置:

第一部分:首先以管理员身份登录到windows10

1.运行cmd查看当前用户,这里的Scarlett即登录的有管理员权限的账户:

a5f1421453796694bf6eb0d706c9e2b6.png

2.安装XAMPP,注意要使用管理员权限进行安装,根据提示不要装在C盘,本次复现安装在D盘,其他按照默认安装即可,最后安装完成如下图所示:

0b615470fbdf5f48ed8933038e969285.png3. 运行cmd,输入如下命令:powershell start-process cmd -verb runas (用powershell启动管理员权限的cmd进程),在管理员权限的cmd上,输入:net user lowuser /add,创建一个普通账号lowuser,通过net user lowuser 可知为普通权限账号:61e6f66d453f34865fdd774056c91b41.png

4. 输入命令net user lowuser * 为lowuser设置密码:

8e1c7ae14b34239f1dd4c8c0e1958d86.png

5. 关闭cmd命令窗口,注销管理员权限的Scarlett账户。

6300d2a08f20c23ff571e817beaeee8f.png

f0407f1f9ab95d9f5eb159d36f725e74.png

0x04漏洞利用

第二部分:以普通账号lowuser登录到windows10

1.输入上面第4步设置的密码,登录lowuser账户:

a11f9e6843b53560dd1f58500a004652.png

2.设置显示文件扩展名和隐藏项目:

2d8c0fe2236f41d538c2d79fc68c948f.png

3.创建command.bat文件,输入命令如下,其作用是将lowuser账号加入管理员权限: @echo off 
net localgroup administrators lowuser /add

a1408fbc389843ae32fbb7f5e26b513b.png

4.运行xampp,并在控制面板上找到config配置。

d3faf6047f40a0f3bd4f16ad8d2b5cc2.png

5.修改编辑器的默认配置,更改为刚才创建的command.bat文件,添加并应用,如下图所示:

054aa0566478cf56dcb08b1eb7f0b5c8.png

6.查看lowuser的用户组,还是普通权限,注销lowuser账户。

4e8d12b32e82084a465ab3af70cbfe73.png

第三部分:再次以管理员(Scarlett)登录到windows10

1.打开XAMPP控制面板,点击查看logs文件:

8281ded7a6977688e23e23c444b5163d.gif

第四部分:切换到lowuser账户:

1.运行cmd,查看lowuser用户组,发现已经提升为administators组:

11de9f7e6a81f0f7dfee725cb3ace012.pngf0407f1f9ab95d9f5eb159d36f725e74.png

0x05漏洞复盘

以上,即漏洞复现全过程,实现了lowuser从普通账号到管理账号的权限提升,真实环境中该漏洞大概率用于后渗透阶段的提权提升;对漏洞的基本面进行复盘,条件1:windows系统、条件2:装有XAMPP、条件3:拥有系统普通账户、条件4:管理员账户通过XAMPP面板查看logs文件。

f0407f1f9ab95d9f5eb159d36f725e74.png

0x06修复方式

厂商已发布了新版本,可以从 
http://www.apachefriends.org/download.html下载这些新的安装程序。

● 参考链接: 
1.https://github.com/S1lkys/CVE-2020-11107/ 
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11107 
3.https://www.apachefriends.org/blog/new_xampp_20200401.html 
4.https://nvd.nist.gov/vuln/detail/CVE-2020-11107f8687800d53f50269ee5bc8d3fc0ac4a.pngf0407f1f9ab95d9f5eb159d36f725e74.png扫码关注我们f0407f1f9ab95d9f5eb159d36f725e74.pngef887eadae3668f37d6cdfb864281d5d.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/501909.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

阿里云rocketmq_云原生时代消息中间件的演进路线

阿里云rocketmq_云原生时代消息中间件的演进路线

作者 | 周礼&#xff08;不铭&#xff09; 阿里巴巴集团消息中间件架构师导读&#xff1a;本文整理自作者于 2020 年云原生微服务大会上的分享《云原生时代的消息中间件演进》&#xff0c;主要探讨了传统的消息中间件如何持续进化为云原生的消息服务。关注阿里巴巴云原生公众号…
阅读更多...
mongodb mysql配置_Nosql_MongoDB数据库配置以及基本指令

mongodb mysql配置_Nosql_MongoDB数据库配置以及基本指令

数据库(database)-数据库的服务器-服务器用来保存数据-mongod用来启动服务器-数据库的客户端-客户端用来操作服务器&#xff0c;对数据进行增删改查的操作-mongo用来启动客户端(不能关闭启动的服务器&#xff0c;否则新开的客户端无法连接)扩展&#xff1a;将mongodb设置为系统…
阅读更多...
python的pygame库使用方法_python基础教程使用Python第三方库pygame写个贪吃蛇小游戏...

python的pygame库使用方法_python基础教程使用Python第三方库pygame写个贪吃蛇小游戏...

今天看到几个关于pygame模块的博客和视频&#xff0c;感觉非常有趣&#xff0c;这里照猫画虎写了一个贪吃蛇小游戏&#xff0c;目前还有待完善&#xff0c;但是基本游戏功能已经实现&#xff0c;下面是代码&#xff1a;# 导入模块import pygameimport random# 初始化pygame.ini…
阅读更多...
mysql爱吃鱼油_鱼油or磷虾油,多油饮食的国人心血管健康如何拯救?

mysql爱吃鱼油_鱼油or磷虾油,多油饮食的国人心血管健康如何拯救?

作为美食大国&#xff0c;高油重口的饮食生活习惯直接导致我国心血管病患病率处于逐年上升的阶段&#xff0c;据统计我国现有心血管病患者已达3.3亿人&#xff0c;占总人口的40%以上。许多年轻人心血管健康已经呈现过度损害状况&#xff0c;心血管疾病也不再是中老年专利。因此…
阅读更多...
python如何实现选项功能_python几种常用功能如何实现 python几种常用功能实现代码实例...

python如何实现选项功能_python几种常用功能如何实现 python几种常用功能实现代码实例...

本篇文章小编给大家分享一下python几种常用功能实现代码实例&#xff0c;小编觉得挺不错的&#xff0c;现在分享给大家供大家参考&#xff0c;有需要的小伙伴们可以来看看。1、python 程序退出的几种方式import syssys.exit()sys.exit(0)sys.exit(1)或者os._exit()该方法中包含…
阅读更多...
小程序promise封装post请求_Promise封装微信小程序的Request请求

小程序promise封装post请求_Promise封装微信小程序的Request请求

回调地狱一向是影响开发和维护的症结所在&#xff0c;无数个success()的嵌套再嵌套&#xff0c;导致代码层级颇深&#xff0c;盘一次逻辑都要费劲千辛万苦&#xff0c;ES6语法中的Promise&#xff0c;便是专为解决JS中异步请求回调的信任问题而存在的&#xff0c;结合小程序目前…
阅读更多...
kafka学习_Kafka 学习笔记01

kafka学习_Kafka 学习笔记01

Kafka概念和基本架构概述以下内容来自拉勾课程学习拉勾教育 - 拉勾旗下教育平台一、Kafka介绍Kafka是最初由 Linkedin 公司开发&#xff0c;是一个 分布式、分区的、多副本的、多生产者、多订阅者&#xff0c;基于zookeeper协调的分布式日志系统&#xff08;也可以当做MQ系统&a…
阅读更多...
mysql 删除另一个表中的_mysql – 在一个查询SQL中删除两个表中的记录

mysql 删除另一个表中的_mysql – 在一个查询SQL中删除两个表中的记录

我有两张桌子EMPGROUP_TBLSEQID | MASTERID | BUSINESS_UNIT | DIVISION | SUB_DIVISION | CLASSIFICATION | SUB_CLASSIFICATION和EMP_MASTERTBLMASTERID | EMPNO | LASTNAME | FIRSTNAME | JOBTITLE | LOCATION |在我的ASP.NET JOBTITLE表中,BUSINESS_UNIT,DIVISION,SUB_DIVI…
阅读更多...
python小车行驶路线图_基于python的小车走黑线

python小车行驶路线图_基于python的小车走黑线

【实例简介】一个简单的基于python的小车走黑线项目&#xff0c;结合了OpenCV【实例截图】【核心代码】工科创II-B└── 工科创II-B├── guaidian.jpg├── 草稿│ ├── TT.PY│ ├── huatu.py│ ├── img.png│ └── ss.py├── 编译.py├── 最终版│ …
阅读更多...
python tcl smb_python操作samba

python tcl smb_python操作samba

最近在部署完xxl-job后&#xff0c;陆续将一些日常性执行的python脚本迁移到上面去&#xff1b;其中部分脚本涉及到对samaba的操作&#xff0c;先后尝试了pysmb、fs.smbfs、pysmbclientpysmb安装&#xff1a;sudo pip2 install pysmb使用from smb.SMBConnection import *class …
阅读更多...
php 随机在文章中添加锚文本_锚文本对网站SEO优化有什么帮助?

php 随机在文章中添加锚文本_锚文本对网站SEO优化有什么帮助?

对于优化人员来说&#xff0c;网站在做优化时都会在网站关键词或长尾词上添加锚文本&#xff0c;锚文本又称锚文本链接&#xff0c;是链接的一种形式。那么描文本的添加对网站优化都有什么好处呢&#xff1f;下面一起来了解一下。一、锚文本为网站传递权重在更新网站内容时&…
阅读更多...
python 决策树 字符型_Python判断字符串是否xx开始或结尾的示例

python 决策树 字符型_Python判断字符串是否xx开始或结尾的示例

判断是否xx开始使用startswith 示例代码&#xff1a;String "12345 上山打老虎"if str(String).startswith(1): #判断String是否以“虎”结尾print("有老虎")else:print("没老虎")执行结果&#xff1a;有老虎判断是否xx结尾使用endswith示例代码…
阅读更多...
malloc 结构体_二进制安全之堆溢出(系列)——堆基础 amp; 结构(二)

malloc 结构体_二进制安全之堆溢出(系列)——堆基础 amp; 结构(二)

哈喽啊这里是二进制安全之堆溢出&#xff08;系列&#xff09;第二期“堆基础 & 结构”第二节&#xff01;&#xff01;话不多说&#xff0c;直接上干货&#xff01;微观结构函数执行流程void *malloc (size_t bytes) void *__libc_malloc (size_t bytes) //对于_int_mallo…
阅读更多...
drbd实现mysql地热备_Mysql+DRBD+Heartbeat 实现mysql高可用的双机热备(mysql+heartbeat篇)...

drbd实现mysql地热备_Mysql+DRBD+Heartbeat 实现mysql高可用的双机热备(mysql+heartbeat篇)...

*************************************部署MYSQL*******************************************yum -y install gcc gcc-c gcc-g77 autoconf automake zlib* fiex* libxml* ncurses-devel libmcrypt* libtool-ltdl-devel* make cmake bison*useradd mysql -d /usr/local/mysql…
阅读更多...
深入理解计算机系统第四版_深入理解计算机系统之存储器层次结构

深入理解计算机系统第四版_深入理解计算机系统之存储器层次结构

我的计算机模型是这样的&#xff1a;CPU执行指令&#xff0c;内存犹如一个巨大的字节数组&#xff0c;存储着指令和数据&#xff0c;硬盘保存着各种程序与程序用到的数据。I/O完成输入输出的功能。在本文中我们抛开I/O&#xff0c;谈一谈关于CPU&#xff0c;内存&#xff0c;硬…
阅读更多...
mysql8支持myISAM_mysql8 参考手册--优化MyISAM表

mysql8支持myISAM_mysql8 参考手册--优化MyISAM表

MyISAM存储引擎在以读为主的数据或低并发操作中表现最好&#xff0c;因为表锁限制了同时执行更新的能力。在MySQL中&#xff0c;InnoDB是默认的存储引擎&#xff0c;而不是MyISAM。优化MyISAM查询一些加快MyISAM表查询的一般技巧 &#xff1a;为了帮助MySQL更好地优化查询&…
阅读更多...
python的模块提供了许多文件处理方法_详解使用Python处理文件目录的相关方法

python的模块提供了许多文件处理方法_详解使用Python处理文件目录的相关方法

所有文件都包含在各个不同的目录下&#xff0c;不过Python也能轻松处理。os模块有许多方法能帮你创建&#xff0c;删除和更改目录。mkdir()方法可以使用os模块的mkdir()方法在当前目录下创建新的目录们。你需要提供一个包含了要创建的目录名称的参数。语法&#xff1a;os.mkdir…
阅读更多...
mysql替换json的key_mysql中json_replace函数的使用?通过json_replace对json对象的值进行替换...

mysql替换json的key_mysql中json_replace函数的使用?通过json_replace对json对象的值进行替换...

需求描述:在看mysql中关于json的内容,通过json_replace函数可以实现对json值的替换,在此记录下.操作过程:1.查看带有json数据类型的表mysql> select * from tab_json;-------------------------------------------------------------------------------------------| id | d…
阅读更多...
python中的array函数作用_Python中的Array | 数组2(简介和功能)

python中的array函数作用_Python中的Array | 数组2(简介和功能)

相关文章&#xff1a;Python中的数组Array | 1(简介和功能)以下是更多函数。1. typecode&#xff1a;此函数返回初始化数组所用的数据类型。2. itemsize&#xff1a;此函数返回单个数组元素的大小(以字节为单位)。3. buffer_info()&#xff1a;返回一个元组&#xff0c;表示存储…
阅读更多...
java生成pdf_JAVA 生成PDF 并导出

java生成pdf_JAVA 生成PDF 并导出

/***首先啥也不干&#xff0c;先写一个转换中文的方法&#xff0c;话说谁要整一个全英文数字的就不* 要写这个方法了....*str :要转换的内容 c:字体大小*/private static Paragraph getChinese(String str,int c) throws DocumentException, IOException{ BaseFont …
阅读更多...
最新文章

Copyright @ 2022~2023