php搭建后台 xampp_CVE202011107:XAMPP任意命令执行漏洞复现

最新推荐文章于 2024-06-15 16:16:26 发布
最新推荐文章于 2024-06-15 16:16:26 发布
阅读量253 收藏
点赞数
文章标签: php搭建后台 xampp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39555579/article/details/111639687
版权
0x00简介XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。该软件与phpstudy类似。2020年4月1日ApacheFriends官方发布了XAMPP新版本,该更新解决了Windows Platforms CVE-2020-11107中的安全问题,低于7.2.29、7.3.16和7.4.4的...
摘要由CSDN通过智能技术生成
f15ffbb4913d1e03f0b790420bcd61c8.png

0x00简介

XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。该软件与phpstudy类似。

2020年4月1日ApacheFriends官方发布了XAMPP新版本,该更新解决了Windows Platforms CVE-2020-11107中的安全问题,低于7.2.29、7.3.16和7.4.4的XAMPP Windows版本允许无特权的用户访问和修改其编辑器和浏览器配置。攻击者可能会修改“ xampp-contol.ini”,将其设置为恶意.exe或.bat文件的值,该文件将在其他用户尝试通过控制面板打开文件后执行。目前此问题不会影响Linux或OS X平台。

f15ffbb4913d1e03f0b790420bcd61c8.png

0x01 漏洞描述

在windows下,XAMPP允许非管理员账号访问和修改其编辑器和浏览器的配置,编辑器的默认配置为notepad.exe,一旦修改配置后,则对应的每个可以访问XAMPP控制面板的用户都更改了配置。当攻击者将编辑器的值设置为恶意的.exe文件或.bat文件,与此同时如果有管理员账号通过XAMPP控制面板查看apache的日志文件,便会执行恶意的.exe文件或.bat文件,以此达到任意命令执行。

f15ffbb4913d1e03f0b790420bcd61c8.png

0x02 影响范围

Apache Friends XAMPP <7.2.29 

Apache Friends XAMPP 7.3.*,<7.3.16 

Apac

最低0.47元/天 解锁文章
weixin_39555579
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107)
m0_48520508的博客
01-04 1198
0x00简介 XAMPP是一个建站集成软件包,一个易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版。类似与WampServer,phpstudy,他可以运行在Wndows、Linux、Mac OS等多种操作。XAMPP 的确非常容易安装和使用:只需下载,解压缩,启动,方便渗透测试人员搭建各种web环境。 0x01漏洞概述 在Windows上的XAMPP 7.2.29之前,7.3.16之前的7.3.x和7.4.4之前的7.4.x中发了一个问题。非特权用户可以在xampp-cont
XAMPP远程命令执行漏洞
weixin_46801402的博客
11-02 1187
XAMPP远程命令执行漏洞
XAMPP PHP-CGI 远程代码执行漏洞(CVE-2024-4577)
最新发布
【Rainbow Network Technology co., LTD】
06-15 476
2024 年 6 月 7 日,推特安全上 orange 公开了其漏洞 CVE-2024-4577 细节,并且 PHP 官方已修漏洞。该漏洞仅适用于 php 版本为 8.1 < 8.1.29,PHP 8.2 < 8.2.20,PHP 8.3 < 8.3.8,同时在 php-cgi 模式下运行 php,并且运行在 windows 平台,且使用语系为繁体中文 950、日文 932、简体中文 936 等。
xammp php 漏洞,xampp 注射漏洞
weixin_35110758的博客
03-18 238
就插进去了,你可以随意构造语句了,又可以被读出来,看图Details:These are Cross-Site Request Forgery, SQL Injection and Full pathdisclosurevulnerabilities.CSRF:http://site/xampp/cds-fpdf.phpIt's possible to delete or add data in ...
phpstudy mysql 启动命令_XAMPP任意命令执行漏洞(CVE-2020-11107)
weixin_39877166的博客
11-23 227
一、漏洞介绍1、XAMPP简介XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。这个软件包原来的名字是 LAMPP,但是为了避免误解,最新的几个版本就改名为 XAMPP 了。它可以在Windows、Linux、Solaris、Mac OS X 等多种操作系统下安装使用,支持多语言:英文、简体中文、繁体中文、韩文、俄文、日文等。XAMPP 的确非常容易安装和使用...
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107) 漏洞加固指南
乐大厨串串香飘万里
10-27 1403
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107)漏洞详细。任意命令执行提升权限漏洞(CVE-2020-11107)
Linux 搭建XAMPP_Apache + Mysql + PHP 环境
12-11
Linux 搭建 XAMPP_Apache + Mysql + PHP 环境 本文将详细介绍如何在 Linux 系统中搭建 XAMPP_Apache + Mysql + PHP 环境,包括停止原有服务、安装 XAMPP、配置防火墙、解决可能出的问题等。 一、停止原有服务 ...
xampp_stone_dup:xmpp石头包更新
04-03
XmppStone 轻量级XMPP客户端库完全用Dart编写。 我的意图是为基于Flutter的未来XMPP客户端编写易于使用的库。 支持的文件: RFC6120 :可扩展消息和状态协议(XMPP):核心RFC6121 :可扩展消息和状态协议(XMPP):...
mold_test.zip_Mold test_database xampp_模具测试记录
09-22
本文将详细解析“mold_test.zip”压缩包中的“Mold test_database xampp_模具测试记录”,帮助读者理解和掌握模具测试的详细流程以及如何利用数据库进行有效管理。 首先,我们需要理解“mold_test”这个项目的核心...
xampp.zip_httpd-xampp_xampp
09-21
这个压缩包文件“xampp.zip”是XAMPP的安装包,主要用于简化个人计算机或开发环境中搭建本地Web服务器的过程。让我们深入探讨一下XAMPP的核心组件以及如何使用它们。 **Apache HTTP Server (httpd-xampp)**: Apache...
XAMPP下OpenSSL软件“心脏出血”漏洞
06-08
XAMPP下OpenSSL软件“心脏出血”漏洞
mysql 5.7.11提权_XAMPP任意命令执行提升权限漏洞(CVE-2020-11107)
weixin_32689769的博客
01-27 274
0x00简介XAMPP是一个建站集成软件包,一个易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版。类似与WampServer,phpstudy,他可以运行在Wndows、Linux、Mac OS等多种操作。XAMPP 的确非常容易安装和使用:只需下载,解压缩,启动,方便渗透测试人员搭建各种web环境。0x01漏洞概述在Windows上的XAMPP 7.2.29之前,7.3...
漏洞-xampp-文件写入】vulfocus/xampp-cve_2013_2586
10-12 1221
xampp-文件写入】写入本地
XAMPP 1.7.3的一个变态Bug
Vincent's Tech Blog
02-01 722
这个问题出的几率不见得会很高。对问题的描述如下: 有一个跑Windows 7的PC作为server,安装的XAMPP 1.7.3;另外有若干PC作为client,跑的也是Windows 7, 然后利用Windows自带的共享精灵在client机上面将一个本地文件夹共享出来,在server上面利用net use指令将client机上的共享文件夹映射为server本地的X、Y和Z盘符。
网络空间安全赛题解析-通过xampp漏洞获取敏感信息
君逍遥o
06-04 524
XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建 XAMPP 软件站集成软件包。这个软件包原来的名字是 LAMPP,但是为了避免误解,最新的几个版本就改名为 XAMPP 了。它可以在Windows、Linux、Solaris、Mac OS X 等多种操作系统下安装使用,支持多语言:英文、简体中文、繁体中文、韩文、俄文、日文等。
XAMPP任意命令执行漏洞
锋刃科技的博客
07-15 2708
前言 XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。 影响版本 Apache Friends XAMPP <7.2.29 Apache Friends XAMPP 7.3.*,<7.3.16 Apache Friends XAMPP 7.4.*,<7.4.4 环境搭建 下载地址:https://sourceforge.net/projects/xampp/files/XAMPP%2
xampp mysql 注入_XAMPP 任意文件写入漏洞(CVE-2013-2586)
weixin_32310195的博客
01-19 863
发布日期:2013-09-26更新日期:2013-10-08受影响系统:xampp xampp 1.8.1描述:--------------------------------------------------------------------------------BUGTRAQ ID: 62665CVE ID: CVE-2013-2586XAMPP是跨平台开源Web服务器解决方案软件包,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值