最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

CVE-2020-11107:XAMPP任意命令执行漏洞复现

XAMPP下载 admin 288浏览 0评论

0×00简介

XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。该软件与phpstudy类似。

2020年4月1日ApacheFriends官方发布了XAMPP新版本,该更新解决了Windows Platforms CVE-2020-11107中的安全问题,低于7.2.29、7.3.16和7.4.4的XAMPP Windows版本允许无特权的用户访问和修改其编辑器和浏览器配置。攻击者可能会修改“ xampp-contol.ini”,将其设置为恶意.exe或.bat文件的值,该文件将在其他用户尝试通过控制面板打开文件后执行。目前此问题不会影响Linux或OS X平台。

0×01 漏洞描述

在windows下,XAMPP允许非管理员账号访问和修改其编辑器和浏览器的配置,编辑器的默认配置为notepad.exe,一旦修改配置后,则对应的每个可以访问XAMPP控制面板的用户都更改了配置。当攻击者将编辑器的值设置为恶意的.exe文件或.bat文件,与此同时如果有管理员账号通过XAMPP控制面板查看apache的日志文件,便会执行恶意的.exe文件或.bat文件,以此达到任意命令执行。

0×02 影响范围

Apache Friends XAMPP <7.2.29

Apache Friends XAMPP 7.3.*,<7.3.16

Apache Friends XAMPP 7.4.*,<7.4.4

0×03环境搭建

● 漏洞环境:

1.准备一台装有window系统的虚拟机,本次复现以windows10系统为例。
2.下载XAMPP,本次复现以7.2.25版本为例,下载地址:链接:https://pan.baidu.com/s/1U2w-5cIysbEIwtF9YYfOsQ 提取码:oi88
其他漏洞版本下载地址:https://sourceforge.net/projects/xampp/files/

● 环境安装和配置:

第一部分:首先以管理员身份登录到windows10

1.运行cmd查看当前用户,这里的Scarlett即登录的有管理员权限的账户:

ja77

2.安装XAMPP,注意要使用管理员权限进行安装,根据提示不要装在C盘,本次复现安装在D盘,其他按照默认安装即可,最后安装完成如下图所示:

ja077
3. 运行cmd,输入如下命令:powershell start-process cmd -verb runas (用powershell启动管理员权限的cmd进程),在管理员权限的cmd上,输入:net user lowuser /add,创建一个普通账号lowuser,通过net user lowuser 可知为普通权限账号:
ja0077

4. 输入命令net user lowuser * 为lowuser设置密码:

ja00077

5. 关闭cmd命令窗口,注销管理员权限的Scarlett账户。

ja000077

0×04漏洞利用

第二部分:以普通账号lowuser登录到windows10

1.输入上面第4步设置的密码,登录lowuser账户:

ja0000077

2.设置显示文件扩展名和隐藏项目:

ja00000077

3.创建command.bat文件,输入命令如下,其作用是将lowuser账号加入管理员权限:
@echo off
net localgroup administrators lowuser /add

ja76

4.运行xampp,并在控制面板上找到config配置。

ja076

5.修改编辑器的默认配置,更改为刚才创建的command.bat文件,添加并应用,如下图所示:

ja0076

6.查看lowuser的用户组,还是普通权限,注销lowuser账户。

ja00076

第三部分:再次以管理员(Scarlett)登录到windows10

1.打开XAMPP控制面板,点击查看logs文件:

ja1

第四部分:切换到lowuser账户:

1.运行cmd,查看lowuser用户组,发现已经提升为administators组:

ja000076

0×05漏洞复盘

以上,即漏洞复现全过程,实现了lowuser从普通账号到管理账号的权限提升,真实环境中该漏洞大概率用于后渗透阶段的提权提升;对漏洞的基本面进行复盘,条件1:windows系统、条件2:装有XAMPP、条件3:拥有系统普通账户、条件4:管理员账户通过XAMPP面板查看logs文件。

0×06修复方式

厂商已发布了新版本,可以从

http://www.apachefriends.org/download.html下载这些新的安装程序。

● 参考链接:
1.https://github.com/S1lkys/CVE-2020-11107/
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11107
3.https://www.apachefriends.org/blog/new_xampp_20200401.html
4.https://nvd.nist.gov/vuln/detail/CVE-2020-11107

转载请注明:XAMPP中文组官网 » CVE-2020-11107:XAMPP任意命令执行漏洞复现