CVE-2020-11107漏洞复现


XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。该软件与phpstudy类似。在windows下,XAMPP允许非管理员账号访问和修改其编辑器和浏览器的配置,编辑器的默认配置为notepad.exe,一旦修改配置后,则对应的每个可以访问XAMPP控制面板的用户都更改了配置。当攻击者将编辑器的值设置为恶意的.exe文件或.bat文件,与此同时如果有管理员账号通过XAMPP控制面板查看apache的日志文件,便会执行恶意的.exe文件或.bat文件,以此达到任意命令执行。

这是我在实验室学习渗透测试所做的第二十一个漏洞复现,较简单。

影响范围

  • Apache Friends XAMPP <7.2.29
  • Apache Friends XAMPP 7.3.*,<7.3.16
  • Apache Friends XAMPP 7.4.*,<7.4.4

实验环境

windows 10(XAMPP 7.4.1)

复现过程

1. 以管理员权限安装XAMPP

老版本有很多无法正常下载,7.4.1可以下载,下载后在windows10虚拟机上安装,注意提前新建一个盘,XAMPP不能安装在C盘。

安装选项均默认。

当前用户为zxy。

2. 创建普通权限用户

以管理员权限启动cmd(powershell start-process cmd -verb runas),通过net user lowuser /add创建一个普通用户lowuser。

输入net user lowuser *为lowuser用户设置密码。完成后,注销拥有管理员权限的zxy用户,以普通用户lowuser登录。

3. 漏洞利用

打开文件资源管理器,设置为可以查看隐藏文件。然后新建一个command.bat文件,其作用是将lowuser用户加入管理员组。在文件中写入如下内容:

@echo off
net localgroup administrators lowuser /add

运行XAMPP,在控制面板右上角找到config,修改编辑器的默认配置,更改为刚才创建的command.bat文件,添加并应用。

此时,lowuser还是普通权限用户。注销lowuser,再次以管理员(zxy)登录,右键以管理员权限打开XAMPP控制面板(原博客没有说以管理员权限打开),启动可以启动的Module,然后找到Logs,随意点开几个,可以看到有一个命令行界面一闪而过。

然后在命令行下查询lowuser的权限,发现已经变为了管理员。


文章作者: 恰醋
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 恰醋 !
评论
 上一篇
CVE-2019-7304 Ubuntu本地提权漏洞复现 CVE-2019-7304 Ubuntu本地提权漏洞复现
Snapd提供附加到本地UNIX_AF套接字的REST API。通过查询与该套接字的任何连接相关联的UID来完成对受限API函数的访问控制。在for循环中进行字符串解析期间,可能会影响用户控制的套接字对等数据以覆盖UID变量。
2020-10-27
下一篇 
CVE-2018-20250漏洞复现 CVE-2018-20250漏洞复现
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。
2020-10-13
  目录