php打开网页执行即执行bat程序_CVE202011107:XAMPP任意命令执行漏洞复现

f0407f1f9ab95d9f5eb159d36f725e74.png

0x00简介

XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。该软件与phpstudy类似。

2020年4月1日ApacheFriends官方发布了XAMPP新版本,该更新解决了Windows Platforms CVE-2020-11107中的安全问题,低于7.2.29、7.3.16和7.4.4的XAMPP Windows版本允许无特权的用户访问和修改其编辑器和浏览器配置。攻击者可能会修改“ xampp-contol.ini”,将其设置为恶意.exe或.bat文件的值,该文件将在其他用户尝试通过控制面板打开文件后执行。目前此问题不会影响Linux或OS X平台。

f0407f1f9ab95d9f5eb159d36f725e74.png

0x01 漏洞描述

在windows下,XAMPP允许非管理员账号访问和修改其编辑器和浏览器的配置,编辑器的默认配置为notepad.exe,一旦修改配置后,则对应的每个可以访问XAMPP控制面板的用户都更改了配置。当攻击者将编辑器的值设置为恶意的.exe文件或.bat文件,与此同时如果有管理员账号通过XAMPP控制面板查看apache的日志文件,便会执行恶意的.exe文件或.bat文件,以此达到任意命令执行。

f0407f1f9ab95d9f5eb159d36f725e74.png

0x02 影响范围

Apache Friends XAMPP <7.2.29 

Apache Friends XAMPP 7.3.*,<7.3.16 

Apache Friends XAMPP 7.4.*,<7.4.4

f0407f1f9ab95d9f5eb159d36f725e74.png

0x03环境搭建

● 漏洞环境:

1.准备一台装有window系统的虚拟机,本次复现以windows10系统为例。 
2.下载XAMPP,本次复现以7.2.25版本为例,下载地址:链接:https://pan.baidu.com/s/1U2w-5cIysbEIwtF9YYfOsQ 提取码:oi88
其他漏洞版本下载地址:https://sourceforge.net/projects/xampp/files/

● 环境安装和配置:

第一部分:首先以管理员身份登录到windows10

1.运行cmd查看当前用户,这里的Scarlett即登录的有管理员权限的账户:

a5f1421453796694bf6eb0d706c9e2b6.png

2.安装XAMPP,注意要使用管理员权限进行安装,根据提示不要装在C盘,本次复现安装在D盘,其他按照默认安装即可,最后安装完成如下图所示:

0b615470fbdf5f48ed8933038e969285.png3. 运行cmd,输入如下命令:powershell start-process cmd -verb runas (用powershell启动管理员权限的cmd进程),在管理员权限的cmd上,输入:net user lowuser /add,创建一个普通账号lowuser,通过net user lowuser 可知为普通权限账号:61e6f66d453f34865fdd774056c91b41.png

4. 输入命令net user lowuser * 为lowuser设置密码:

8e1c7ae14b34239f1dd4c8c0e1958d86.png

5. 关闭cmd命令窗口,注销管理员权限的Scarlett账户。

6300d2a08f20c23ff571e817beaeee8f.png

f0407f1f9ab95d9f5eb159d36f725e74.png

0x04漏洞利用

第二部分:以普通账号lowuser登录到windows10

1.输入上面第4步设置的密码,登录lowuser账户:

a11f9e6843b53560dd1f58500a004652.png

2.设置显示文件扩展名和隐藏项目:

2d8c0fe2236f41d538c2d79fc68c948f.png

3.创建command.bat文件,输入命令如下,其作用是将lowuser账号加入管理员权限: @echo off 
net localgroup administrators lowuser /add

a1408fbc389843ae32fbb7f5e26b513b.png

4.运行xampp,并在控制面板上找到config配置。

d3faf6047f40a0f3bd4f16ad8d2b5cc2.png

5.修改编辑器的默认配置,更改为刚才创建的command.bat文件,添加并应用,如下图所示:

054aa0566478cf56dcb08b1eb7f0b5c8.png

6.查看lowuser的用户组,还是普通权限,注销lowuser账户。

4e8d12b32e82084a465ab3af70cbfe73.png

第三部分:再次以管理员(Scarlett)登录到windows10

1.打开XAMPP控制面板,点击查看logs文件:

8281ded7a6977688e23e23c444b5163d.gif

第四部分:切换到lowuser账户:

1.运行cmd,查看lowuser用户组,发现已经提升为administators组:

11de9f7e6a81f0f7dfee725cb3ace012.pngf0407f1f9ab95d9f5eb159d36f725e74.png

0x05漏洞复盘

以上,即漏洞复现全过程,实现了lowuser从普通账号到管理账号的权限提升,真实环境中该漏洞大概率用于后渗透阶段的提权提升;对漏洞的基本面进行复盘,条件1:windows系统、条件2:装有XAMPP、条件3:拥有系统普通账户、条件4:管理员账户通过XAMPP面板查看logs文件。

f0407f1f9ab95d9f5eb159d36f725e74.png

0x06修复方式

厂商已发布了新版本,可以从 
http://www.apachefriends.org/download.html下载这些新的安装程序。

● 参考链接: 
1.https://github.com/S1lkys/CVE-2020-11107/ 
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11107 
3.https://www.apachefriends.org/blog/new_xampp_20200401.html 
4.https://nvd.nist.gov/vuln/detail/CVE-2020-11107f8687800d53f50269ee5bc8d3fc0ac4a.pngf0407f1f9ab95d9f5eb159d36f725e74.png扫码关注我们f0407f1f9ab95d9f5eb159d36f725e74.pngef887eadae3668f37d6cdfb864281d5d.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/501909.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

阿里云rocketmq_云原生时代消息中间件的演进路线

阿里云rocketmq_云原生时代消息中间件的演进路线

作者 | 周礼&#xff08;不铭&#xff09; 阿里巴巴集团消息中间件架构师导读&#xff1a;本文整理自作者于 2020 年云原生微服务大会上的分享《云原生时代的消息中间件演进》&#xff0c;主要探讨了传统的消息中间件如何持续进化为云原生的消息服务。关注阿里巴巴云原生公众号…
阅读更多...
mongodb mysql配置_Nosql_MongoDB数据库配置以及基本指令

mongodb mysql配置_Nosql_MongoDB数据库配置以及基本指令

数据库(database)-数据库的服务器-服务器用来保存数据-mongod用来启动服务器-数据库的客户端-客户端用来操作服务器&#xff0c;对数据进行增删改查的操作-mongo用来启动客户端(不能关闭启动的服务器&#xff0c;否则新开的客户端无法连接)扩展&#xff1a;将mongodb设置为系统…
阅读更多...
kafka学习_Kafka 学习笔记01

kafka学习_Kafka 学习笔记01

Kafka概念和基本架构概述以下内容来自拉勾课程学习拉勾教育 - 拉勾旗下教育平台一、Kafka介绍Kafka是最初由 Linkedin 公司开发&#xff0c;是一个 分布式、分区的、多副本的、多生产者、多订阅者&#xff0c;基于zookeeper协调的分布式日志系统&#xff08;也可以当做MQ系统&a…
阅读更多...
php 随机在文章中添加锚文本_锚文本对网站SEO优化有什么帮助?

php 随机在文章中添加锚文本_锚文本对网站SEO优化有什么帮助?

对于优化人员来说&#xff0c;网站在做优化时都会在网站关键词或长尾词上添加锚文本&#xff0c;锚文本又称锚文本链接&#xff0c;是链接的一种形式。那么描文本的添加对网站优化都有什么好处呢&#xff1f;下面一起来了解一下。一、锚文本为网站传递权重在更新网站内容时&…
阅读更多...
malloc 结构体_二进制安全之堆溢出(系列)——堆基础 amp; 结构(二)

malloc 结构体_二进制安全之堆溢出(系列)——堆基础 amp; 结构(二)

哈喽啊这里是二进制安全之堆溢出&#xff08;系列&#xff09;第二期“堆基础 & 结构”第二节&#xff01;&#xff01;话不多说&#xff0c;直接上干货&#xff01;微观结构函数执行流程void *malloc (size_t bytes) void *__libc_malloc (size_t bytes) //对于_int_mallo…
阅读更多...
深入理解计算机系统第四版_深入理解计算机系统之存储器层次结构

深入理解计算机系统第四版_深入理解计算机系统之存储器层次结构

我的计算机模型是这样的&#xff1a;CPU执行指令&#xff0c;内存犹如一个巨大的字节数组&#xff0c;存储着指令和数据&#xff0c;硬盘保存着各种程序与程序用到的数据。I/O完成输入输出的功能。在本文中我们抛开I/O&#xff0c;谈一谈关于CPU&#xff0c;内存&#xff0c;硬…
阅读更多...
java jmeter_使用Jmeter中的Java Request进行性能测试

java jmeter_使用Jmeter中的Java Request进行性能测试

在使用jmeter进行性能测试的时候&#xff0c;有可能会需要通过一些脚本去测试性能&#xff0c;(比如通过sokeeper的api去测试sokeeper的读写性能)。这时&#xff0c;我们可以通过Java Request实现&#xff0c;以下是操作步骤。首先创建一个maven project。因Jmeter的Java Reque…
阅读更多...
m.2接口和nvme区别_m.2 nvme和m.2有区别吗?

m.2接口和nvme区别_m.2 nvme和m.2有区别吗?

m2接口有两种&#xff0c;一种走sata的&#xff0c;另外一种走pcie(就是nvme)的。走sata的速度跟传统sata接口的没区别&#xff0c;就是接口变成了m2的了。走pcie的&#xff0c;就是我们说的nvme接口是m2的&#xff0c;性能也强了。M.2接口有SATA也有NVMe PCIe协议。这个是同一…
阅读更多...
如何查看cplex的help文档_word查看技巧:如何快速找到文档的修改痕迹

如何查看cplex的help文档_word查看技巧:如何快速找到文档的修改痕迹

不知道大家在工作中有没有遇到过这类的工作场景&#xff1a;当初步拟好一份合作协议或是项目策划书后&#xff0c;发给老板或其他同事审阅和修订&#xff0c;通常会不断地来回修改文档。此时&#xff0c;如果你想要查看文档哪里被修改过&#xff1f;你会怎么操作&#xff1f;很…
阅读更多...
mysql set语句_MySQL Prepared语句简介

mysql set语句_MySQL Prepared语句简介

之前的MySQL版本4.1&#xff0c;查询以文本格式发送到MySQL服务器。 之后&#xff0c;MySQL服务器使用文本协议将数据返回给客户端。MySQL必须完全解析查询&#xff0c;并将结果集转换为字符串&#xff0c;然后再将其返回给客户端。 文本协议具有严重的性能问题。为了解决这个问…
阅读更多...
三同轴连接器_一种毫米波频段微带同轴转换结构

三同轴连接器_一种毫米波频段微带同轴转换结构

在微波电路中&#xff0c;同轴电缆和微带线是微波系统中常见的两种微波传输线&#xff0c;同轴电缆以其频带宽、屏蔽性好、结构简单、可弯曲等特性&#xff0c;常被用作模块或系统之间连接的传输线。在高频段&#xff0c;微带线是混合微波集成电路(Hybrid Microwave Integrated…
阅读更多...
nginx https透明代理_Nginx反向代理https,配置lets-encrypt证书教程

nginx https透明代理_Nginx反向代理https,配置lets-encrypt证书教程

前言本站也终于迁移到https了&#xff0c;由于全Docker部署&#xff0c;迁移过程中真是艰难无比&#xff08;wordpress那块被折腾的想放弃了&#xff09;,也欢迎访问本人博客&#xff0c;&#xff08;知乎的排版有些乱&#xff09;Nginx反向代理https&#xff0c;配置lets-encr…
阅读更多...
nginx 一个请求发给多台机器_配置Nginx实现负载均衡

nginx 一个请求发给多台机器_配置Nginx实现负载均衡

企业在解决高并发问题时&#xff0c;一般有两个方向的处理策略&#xff0c;软件、硬件&#xff0c;硬件上添加负载均衡器分发大量请求&#xff0c;软件上可在高并发瓶颈处&#xff1a;数据库web服务器两处添加解决方案&#xff0c;其中web服务器前面一层最常用的的添加负载方案…
阅读更多...
怎么用记事本写java_如何用记事本写下第一个Java程序-Fun言

怎么用记事本写java_如何用记事本写下第一个Java程序-Fun言

在刚学java的时候&#xff0c;刚开始并未接触类似于Myeclipse这类的编辑器&#xff0c;都是用记事本编写程序&#xff0c;这样虽然很慢&#xff0c;但是能让我们明白其中的原理&#xff0c;所以今天来教大家用记事本来写第一个java程序"Hello World&#xff01;"准备…
阅读更多...
ps发光插件_PS插件自定义区域发光真实辉光插件 Oniric Glow Generator for Photoshop【资源分享1444】...

ps发光插件_PS插件自定义区域发光真实辉光插件 Oniric Glow Generator for Photoshop【资源分享1444】...

AE特效PR剪辑C4D影视后期全世界只有不到1%的人关注了你是个很特别的人AE影视后期定期推送「AEPRC4D 影视特效合成 婚庆剪辑调色 电视广告包装 微电影制作 SpeedGrade达芬奇专业调色 摄影等」打造影视后期高端学习平台影视后期 ID&#xff1a;AEPRC4D9【PS插件信息】非常棒的一款…
阅读更多...
python 退出_如果读完这篇文章不能让你入门Python,那我将永久退出编程界

python 退出_如果读完这篇文章不能让你入门Python,那我将永久退出编程界

(PS:文末福利赠送 无套路&#xff0c;真实有效&#xff01;)Python是一种动态解释型的编程语言。Python可以在Windows、UNIX、MAC等多种操作系统上使用&#xff0c;也可以在Java、.NET开发平台上使用。【特点】1 Python使用C语言开发&#xff0c;但是Python不再有C语言中的指针…
阅读更多...
unity 检测文本有没有自动换行_python3从零学习-5.1.5、文本自动换行与填充模块textwrap...

unity 检测文本有没有自动换行_python3从零学习-5.1.5、文本自动换行与填充模块textwrap...

TextWrapper 模块提供了一些快捷函数&#xff0c;以及可以完成所有工作的类 TextWrapper 如果你只是要对一两个文本字符串进行自动换行或填充&#xff0c;快捷函数应该就够用了&#xff1b;否则的话&#xff0c;你应该使用 TextWrapper 的实例来提高效率。…
阅读更多...
红黑树和平衡二叉树的区别_一文搞懂红黑树

红黑树和平衡二叉树的区别_一文搞懂红黑树

文章参考 | https://segmentfault.com/a/1190000012728513前言当在10亿数据进行不到30次比较就能查找到目标时&#xff0c;不禁感叹编程之魅力&#xff01;二叉树在了解红黑树之前&#xff0c;先要了解二叉树&#xff0c;又叫二叉查找树、二叉搜索树、二叉排序树。二叉树顾名思…
阅读更多...
mysql table keys_MySQL Explain详解

mysql table keys_MySQL Explain详解

在日常工作中&#xff0c;我们会有时会开慢查询去记录一些执行时间比较久的SQL语句&#xff0c;找出这些SQL语句并不意味着完事了&#xff0c;些时我们常常用到explain这个命令来查看一个这些SQL语句的执行计划&#xff0c;查看该SQL语句有没有使用上了索引&#xff0c;有没有做…
阅读更多...
程序员肚子越来越大_肚子越来越大,除了肥胖还可能是疾病信号!腰间搓一搓,排出痰浊,消脂防病~...

程序员肚子越来越大_肚子越来越大,除了肥胖还可能是疾病信号!腰间搓一搓,排出痰浊,消脂防病~...

☀ 定期推送健康知识&#xff0c;生活窍门&#xff0c;演出资讯&#xff0c;旅游信息&#xff0c;商家优惠等诸多优质内容&#xff0c;接地气、重服务的微信平台&#xff01;关注我们妥妥没错&#xff01;今天我们所说的“要命的肚子”就是一种肥胖&#xff0c;众所周知导致肥胖…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023