xampp-文件写入(CVE-2013-2586)

最新推荐文章于 2024-07-29 22:18:31 发布
最新推荐文章于 2024-07-29 22:18:31 发布
阅读量520 收藏 10
点赞数 10
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65150886/article/details/135249137
版权

漏洞描述:

XAMPP 1.8.1的"/xampp/lang.php"页面存在注入漏洞,未授权用户可在本地磁盘内写入,本地文件 "lang.tmp"可以从远程机器上进行修改,可在目标用户浏览器中执行任意HTML或脚本代码,窃取用户凭证之类的敏感信息

复现过程:

  1. 访问ip:port

2.访问http://ip:port/xampp/lang.php?WriteIntoLocalDisk

3.访问http://ip:port/xampp/lang.tmp

回显WriteIntoLocalDisk

说明写入成功

4. 回到http://ip:port/xampp/splash.php

点击中文进入

5. 点击phpinfo()

修复建议:

厂商补丁:

xampp
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.apachefriends.org/zh_cn/xampp.html

慕筱蚺
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞复现-xampp-文件写入】vulfocus/xampp-cve_2013_2586
10-12 1232
xampp-文件写入写入本地
xampp mysql 注入_XAMPP 任意文件写入漏洞(CVE-2013-2586)
weixin_32310195的博客
01-19 863
发布日期:2013-09-26更新日期:2013-10-08受影响系统:xampp xampp 1.8.1描述:--------------------------------------------------------------------------------BUGTRAQ ID: 62665CVE ID: CVE-2013-2586XAMPP是跨平台开源Web服务器解决方案软件包,...
【Vulfocus漏洞复现】tomcat-cve_2017_12615
weixin_45632448的博客
04-07 491
访问目标 http://123.58.236.76:15450/ burp抓包 修改请求方式为PUT,增加POST请求体 PUT /shell.jsp/ HTTP/1.1 Host: 123.58.236.76:15450 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
国产开源网络安全渗透测试集成靶场vulfocus
顺其自然~专栏
10-17 1466
进入项目所在的目录的vulfocus-api文件夹目录下,执行下面命令。
[Vulfocus解题]Spring Cloud Gateway 远程代码执行(CVE-2022-22947)
JY_Heart的博客
03-03 5830
漏洞复现: 1.打开靶场环境 2.抓包,修改get参数,提交get包 访问actuator API接口 3.访问env接口
xampp-control.rar_control_xampp_xampp-control
09-20
标题中的"xampp-control.rar_control_xampp_xampp-control"表明这是一个与XAMPP控制面板相关的压缩文件,可能包含了控制面板的配置文件或者更新版本。"rar"是文件的压缩格式,通常用于打包多个文件或目录到一个单一...
xampp-win32.zip
07-11
XAMPP 是一个快速搭建基于Apache、MySQL、PHP的编程调试环境的一个安装包,易于安装和设置。   XAMPP v1.8.1 包含以下功能组件: ...XAMPP Control Panel 3.1.0 (from hackattack142)
xampp-win32
07-22
资源名称:xampp-win32工具简介:XAMPP 是一个快速搭建基于Apache、MySQL、PHP的编程调试环境的一个安装包,易于安装和设置。 XAMPP v1.8.1 包含以下功能组件:Apache 2.4.3MySQL 5.5.27...
xampp-linux-x64-7.2.30-0-installer.run
04-29
linux版本得xamppxampp-linux-x64-7.2.30-0-installer.run
xampp-windows-x64-7.3.10-0-VC15-installer.zip
10-18
XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建 XAMPP 软件站集成软件包。包括Apache、MySQL、PHP、PERL,直接解压缩,没有复杂的安装过程,强烈推荐初学者使用。该版本软件为官网下载的官方版本软件,适用于...
【Vulfocus解题复现】nostromo 远程命令执行 (CVE-2019-16278)
温氏效应
11-23 4975
Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的shell文件,借此执行任意命令。
网安零基础入门神书,全面介绍Web渗透核心攻击与防御方式!
互联网架构小马的博客
07-29 825
Web安全是指Web服务程序的漏洞,通常涵盖Web漏洞、操作系统洞、数据库漏洞、中间件漏洞等。“渗透测试”作为主动防御的一种关键手段,对评估网络系统安全防护及措施至关重要,因为只有发现问题才能及时终止并预防潜在的安全风险。根据网络安全调查统计,75%的网络攻击行为都是来自Web应用层面而非网络层面所以,学习Web安全的重要性不言而喻。Web安全吸引越来越多的人学习,有人是被其炫酷感染,有人是出于对技术的热爱,但大多数人还是为了高薪资和职场发展。
网络安全自学从入门到精通的制胜攻略!!!
2301_77160226的博客
07-27 266
在信息时代,网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术,开启充满挑战与机遇的职业道路。
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 928
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
网络安全防御【IPsec VPN搭建】
miss_copper的博客
07-25 1515
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
网络安全之不同阶段攻防手段(四)
子非渔
07-25 769
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
多元宇宙算法MVO-Kmean-Transformer-LSTM负荷预测【含Matlab源码 6773期】.zip
最新发布
08-02
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化Kmeans-Transformer-lstm分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化Kmeans-Transformer-lstm预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化Kmeans-Transformer-lstm预测 4.4.3 灰狼算法GWO/狼群算法WPA优化Kmeans-Transformer-lstm预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化Kmeans-Transformer-lstm预测 4.4.5 萤火虫算法FA/差分算法DE优化Kmeans-Transformer-lstm预测 4.4.6 其他优化算法优化Kmeans-Transformer-Lstm预测
大型企业数字化转型发展趋势汇报方案.docx
08-02
大型企业数字化转型发展趋势汇报方案.docx
xampp-linux-x64-5.6.38-0
10-14
xampp-linux-x64-5.6.38-0是一个开源的Web服务器软件,适用于Linux操作系统64位架构。它包含了Apache服务器、MySQL数据库、PHP和Perl编程语言等组件,可以集成部署用于开发和测试Web应用程序。 XAMPP的特点在于其易安装、易使用以及跨平台的特性。安装过程简便,不需要额外的配置和设置,用户可以快速部署这个软件来搭建自己的开发环境。它支持各种主流的操作系统,包括Windows、Linux、MacOS等,提供了一致的开发环境,方便开发人员进行跨平台的开发。 其中的Apache服务器是目前使用最广泛的Web服务器之一,提供高性能和稳定性,支持多种功能和扩展。MySQL数据库是一个强大的关系型数据库管理系统,能够高效地存储和检索数据。PHP是一种广泛应用于Web开发的服务器端脚本语言,可以与HTML页面进行结合,实现动态的网页内容。Perl是另一种常用的脚本语言,广泛应用于文本处理和系统管理等领域。 通过使用xampp-linux-x64-5.6.38-0,开发人员可以快速搭建一个完整的开发环境,方便进行网站的开发、测试和调试。这个软件提供了一个简单易用的控制面板,可以轻松管理服务器的各项功能和配置。总之,xampp-linux-x64-5.6.38-0是一个功能强大、易用的Web服务器软件,为开发人员提供了一个便捷的开发环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值