這是作者網路安全自學教程系列,主要是關于安全工具和實踐操作的在線筆記,特分享出來與博友們學習,希望您喜歡,一起進步,前文分享了木馬病毒提權技術,包括行程訪問令牌權限提升和Bypass UAC,這篇文章將復現CVE-2020-11107漏洞,利用XAMPP任意命令執行漏洞提升權限,希望對您有所幫助,
作者作為網路安全的小白,分享一些自學基礎教程給大家,主要是關于安全工具和實踐操作的在線筆記,希望您們喜歡,同時,更希望您能與我一起操作和進步,后續將深入學習網路安全和系統安全知識并分享相關實驗,總之,希望該系列文章對博友有所幫助,寫文不易,大神們不喜勿噴,謝謝!如果文章對您有幫助,將是我創作的最大動力,點贊、評論、私聊均可,一起加油喔~
文章目錄
- 一.漏洞描述
- 二.環境搭建
- 三.漏洞復現
- 四.防御及總結
作者的github資源:
軟體安全:https://github.com/eastmountyxz/Software-Security-Course
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Exp
宣告:本人堅決反對利用教學方法進行犯罪的行為,一切犯罪行為必將受到嚴懲,綠色網路需要我們共同維護,更推薦大家了解它們背后的原理,更好地進行防護,
前文學習:
[網路安全自學篇] 一.入門筆記之看雪Web安全學習及異或解密示例
[網路安全自學篇] 二.Chrome瀏覽器保留密碼功能滲透決議及登錄加密入門筆記
[網路安全自學篇] 三.Burp Suite工具安裝配置、Proxy基礎用法及暴庫示例
[網路安全自學篇] 四.實驗吧CTF實戰之WEB滲透和隱寫術解密
[網路安全自學篇] 五.IDA Pro反匯編工具初識及逆向工程解密實戰
[網路安全自學篇] 六.OllyDbg動態分析工具基礎用法及Crakeme逆向
[網路安全自學篇] 七.快手視頻下載之Chrome瀏覽器Network分析及Python爬蟲探討
[網路安全自學篇] 八.Web漏洞及埠掃描之Nmap、ThreatScan和DirBuster工具
[網路安全自學篇] 九.社會工程學之基礎概念、IP獲取、IP物理定位、檔案屬性
[網路安全自學篇] 十.論文之基于機器學習演算法的主機惡意代碼
[網路安全自學篇] 十一.虛擬機VMware+Kali安裝入門及Sqlmap基本用法
[網路安全自學篇] 十二.Wireshark安裝入門及抓取網站用戶名密碼(一)
[網路安全自學篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及資料流追蹤和影像抓取(二)
[網路安全自學篇] 十四.Python攻防之基礎常識、正則運算式、Web編程和套接字通信(一)
[網路安全自學篇] 十五.Python攻防之多執行緒、C段掃描和資料庫編程(二)
[網路安全自學篇] 十六.Python攻防之弱口令、自定義字典生成及網站暴庫防護
[網路安全自學篇] 十七.Python攻防之構建Web目錄掃描器及ip代理池(四)
[網路安全自學篇] 十八.XSS跨站腳本攻擊原理及代碼攻防演示(一)
[網路安全自學篇] 十九.Powershell基礎入門及常見用法(一)
[網路安全自學篇] 二十.Powershell基礎入門及常見用法(二)
[網路安全自學篇] 二十一.GeekPwn極客大賽之安全攻防技術總結及ShowTime
[網路安全自學篇] 二十二.Web滲透之網站資訊、域名資訊、埠資訊、敏感資訊及指紋資訊收集
[網路安全自學篇] 二十三.基于機器學習的惡意請求識別及安全領域中的機器學習
[網路安全自學篇] 二十四.基于機器學習的惡意代碼識別及人工智能中的惡意代碼檢測
[網路安全自學篇] 二十五.Web安全學習路線及木馬、病毒和防御初探
[網路安全自學篇] 二十六.Shodan搜索引擎詳解及Python命令列呼叫
[網路安全自學篇] 二十七.Sqlmap基礎用法、CTF實戰及請求引數設定(一)
[網路安全自學篇] 二十八.檔案上傳漏洞和Caidao入門及防御原理(一)
[網路安全自學篇] 二十九.檔案上傳漏洞和IIS6.0決議漏洞及防御原理(二)
[網路安全自學篇] 三十.檔案上傳漏洞、編輯器漏洞和IIS高版本漏洞及防御(三)
[網路安全自學篇] 三十一.檔案上傳漏洞之Upload-labs靶場及CTF題目01-10(四)
[網路安全自學篇] 三十二.檔案上傳漏洞之Upload-labs靶場及CTF題目11-20(五)
[網路安全自學篇] 三十三.檔案上傳漏洞之繞狗一句話原理和繞過安全狗(六)
[網路安全自學篇] 三十四.Windows系統漏洞之5次Shift漏洞啟動計算機
[網路安全自學篇] 三十五.惡意代碼攻擊溯源及惡意樣本分析
[網路安全自學篇] 三十六.WinRAR漏洞復現(CVE-2018-20250)及惡意軟體自啟動劫持
[網路安全自學篇] 三十七.Web滲透提高班之hack the box在線靶場注冊及入門知識(一)
[網路安全自學篇] 三十八.hack the box滲透之BurpSuite和Hydra密碼爆破及Python加密Post請求(二)
[網路安全自學篇] 三十九.hack the box滲透之DirBuster掃描路徑及Sqlmap高級注入用法(三)
[網路安全自學篇] 四十.phpMyAdmin 4.8.1后臺檔案包含漏洞復現及詳解(CVE-2018-12613)
[網路安全自學篇] 四十一.中間人攻擊和ARP欺騙原理詳解及漏洞還原
[網路安全自學篇] 四十二.DNS欺騙和釣魚網站原理詳解及漏洞還原
[網路安全自學篇] 四十三.木馬原理詳解、遠程服務器IPC$漏洞及木馬植入實驗
[網路安全自學篇] 四十四.Windows遠程桌面服務漏洞(CVE-2019-0708)復現及詳解
[網路安全自學篇] 四十五.病毒詳解及批處理病毒制作(自啟動、修改密碼、定時關機、藍屏、行程關閉)
[網路安全自學篇] 四十六.微軟證書漏洞CVE-2020-0601 (上)Windows驗證機制及可執行檔案簽名復現
[網路安全自學篇] 四十七.微軟證書漏洞CVE-2020-0601 (下)Windows證書簽名及HTTPS網站劫持
[網路安全自學篇] 四十八.Cracer第八期——(1)安全術語、Web滲透流程、Windows基礎、注冊表及黑客常用DOS命令
[網路安全自學篇] 四十九.Procmon軟體基本用法及檔案行程、注冊表查看
[網路安全自學篇] 五十.虛擬機基礎之安裝XP系統、檔案共享、網路快照設定及Wireshark抓取BBS密碼
[網路安全自學篇] 五十一.惡意樣本分析及HGZ木馬控制目標服務器
[網路安全自學篇] 五十二.Windows漏洞利用之堆疊溢位原理和堆疊保護GS機制
[網路安全自學篇] 五十三.Windows漏洞利用之Metasploit實作堆疊溢位攻擊及反彈shell
[網路安全自學篇] 五十四.Windows漏洞利用之基于SEH例外處理機制的堆疊溢位攻擊及shell提取
[網路安全自學篇] 五十五.Windows漏洞利用之構建ROP鏈繞過DEP并獲取Shell
[網路安全自學篇] 五十六.i春秋老師分享小白滲透之路及Web滲透技術總結
[網路安全自學篇] 五十七.PE檔案逆向之什么是數字簽名及Signtool簽名工具詳解(一)
[網路安全自學篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反彈shell
[網路安全自學篇] 五十九.Windows漏洞利用之MS08-067遠程代碼執行漏洞復現及shell深度提權
[網路安全自學篇] 六十.Cracer第八期——(2)五萬字總結Linux基礎知識和常用滲透命令
[網路安全自學篇] 六十一.PE檔案逆向之數字簽名詳細決議及Signcode、PEView、010Editor、Asn1View等工具用法(二)
[網路安全自學篇] 六十二.PE檔案逆向之PE檔案決議、PE編輯工具使用和PE結構修改(三)
[網路安全自學篇] 六十三.hack the box滲透之OpenAdmin題目及蟻劍管理員提權(四)
[網路安全自學篇] 六十四.Windows漏洞利用之SMBv3服務遠程代碼執行漏洞(CVE-2020-0796)復現及詳解
[網路安全自學篇] 六十五.Vulnhub靶機滲透之環境搭建及JIS-CTF入門和蟻劍提權示例(一)
[網路安全自學篇] 六十六.Vulnhub靶機滲透之DC-1提權和Drupal漏洞利用(二)
[網路安全自學篇] 六十七.WannaCry勒索病毒復現及分析(一)Python利用永恒之藍及Win7勒索加密
[網路安全自學篇] 六十八.WannaCry勒索病毒復現及分析(二)MS17-010利用及病毒決議
[網路安全自學篇] 六十九.宏病毒之入門基礎、防御措施、自發郵件及APT28樣本分析
[網路安全自學篇] 七十.WannaCry勒索病毒復現及分析(三)蠕蟲傳播機制分析及IDA和OD逆向
[網路安全自學篇] 七十一.深信服分享之外部威脅防護和勒索病毒對抗
[網路安全自學篇] 七十二.逆向分析之OllyDbg動態除錯工具(一)基礎入門及TraceMe案例分析
[網路安全自學篇] 七十三.WannaCry勒索病毒復現及分析(四)蠕蟲傳播機制全網原始碼詳細解讀
[網路安全自學篇] 七十四.APT攻擊檢測溯源與常見APT組織的攻擊案例
[網路安全自學篇] 七十五.Vulnhub靶機滲透之bulldog資訊收集和nc反彈shell(三)
[網路安全自學篇] 七十六.逆向分析之OllyDbg動態除錯工具(二)INT3斷點、反除錯、硬體斷點與記憶體斷點
[網路安全自學篇] 七十七.惡意代碼與APT攻擊中的武器(強推Seak老師)
[網路安全自學篇] 七十八.XSS跨站腳本攻擊案例分享及總結(二)
[網路安全自學篇] 七十九.Windows PE病毒原理、分類及感染方式詳解
[網路安全自學篇] 八十.WHUCTF之WEB類解題思路WP(代碼審計、檔案包含、過濾繞過、SQL注入)
[網路安全自學篇] 八十一.WHUCTF之WEB類解題思路WP(檔案上傳漏洞、冰蝎蟻劍、反序列化phar)
[網路安全自學篇] 八十二.WHUCTF之隱寫和逆向類解題思路WP(文字解密、圖片解密、佛語解碼、冰蝎流量分析、逆向分析)
[網路安全自學篇] 八十三.WHUCTF之CSS注入、越權、csrf-token竊取及XSS總結
[網路安全自學篇] 八十四.《Windows黑客編程技術詳解》之VS環境配置、基礎知識及DLL延遲加載詳解
[網路安全自學篇] 八十五.《Windows黑客編程技術詳解》之注入技術詳解(全域鉤子、遠執行緒鉤子、突破Session 0注入、APC注入)
[網路安全自學篇] 八十六.威脅情報分析之Python抓取FreeBuf網站APT文章(上)
[網路安全自學篇] 八十七.惡意代碼檢測技術詳解及總結
[網路安全自學篇] 八十八.基于機器學習的惡意代碼檢測技術詳解
[網路安全自學篇] 八十九.PE檔案決議之通過Python獲取時間戳判斷軟體來源地區
[網路安全自學篇] 九十.遠控木馬詳解及APT攻擊中的遠控
[網路安全自學篇] 九十一.阿里云搭建LNMP環境及實作PHP自定義網站IP訪問 (1)
[網路安全自學篇] 九十二.《Windows黑客編程技術詳解》之病毒啟動技術創建行程API、突破SESSION0隔離、記憶體加載詳解(3)
[網路安全自學篇] 九十三.《Windows黑客編程技術詳解》之木馬開機自啟動技術(注冊表、計劃任務、系統服務)
[網路安全自學篇] 九十四.《Windows黑客編程技術詳解》之提權技術(令牌權限提升和Bypass UAC)
前文欣賞:
[滲透&攻防] 一.從資料庫原理學習網路攻防及防止SQL注入
[滲透&攻防] 二.SQL MAP工具從零解讀資料庫及基礎用法
[滲透&攻防] 三.資料庫之差異備份及Caidao利器
[滲透&攻防] 四.詳解MySQL資料庫攻防及Fiddler神器分析資料包
一.漏洞描述
XAMPP(Apache+MySQL+PHP+PERL)是一個功能強大的建站集成軟體包,能夠把Apache網頁服務器與PHP、Perl及MariaDB集合在一起的安裝包,允許用戶可以在自己的電腦上輕易的建立網頁服務器,并且能在Windows、Linux、Solaris、Mac OS等多種作業系統下安裝使用,該軟體與phpstudy類似,
漏洞成因:
2020年4月1日Apache Friends官方發布了XAMPP新版本,該更新解決了Windows Platforms CVE-2020-11107安全漏洞,該漏洞存在于Windows系統下,XAMPP允許無特權的用戶訪問和修改其編輯器和瀏覽器配置,編輯器的默認配置為notepad.exe,一旦修改配置后,對應每個可以訪問XAMPP控制面板的用戶都更改了配置,
比如,攻擊者修改“xampp-contol.ini”,將其設定為惡意.exe或.bat檔案,與此同時如果有管理員賬號通過XAMPP控制面板查看apache的日志檔案,便會執行惡意的.exe檔案或.bat檔案,以此達到任意命令執行,
影響范圍:
- 影響僅限Windows作業系統(Linux或Mac OS不會被影響)
- Apache Friends XAMPP < 7.2.29
- Apache Friends XAMPP 7.3.*,< 7.3.16
- Apache Friends XAMPP 7.4.*,< 7.4.4
二.環境搭建
實驗環境:
- Windows 10 64位作業系統
- XAMPP V3.2.2
- 下載地址:https://sourceforge.net/projects/xampp/files/
基本流程:
- 查看當前用戶權限
- 啟動管理員權限打開CMD行程
- 在管理員權限下增加普通權限賬戶
- 通過批處理和XAMPP將普通用戶權限提升至管理員權限
三.漏洞復現
第一步,以管理員身份登錄到windows10,運行cmd查看當前用戶xiuzhang,
- net user
- whoami
輸入命令發現當前用戶為管理員權限賬戶,
- net user xiuzhang
第二步,使用管理員權限安裝XAMPP,最后安裝完成如下圖所示,
第三步,運行cmd,輸入如下命令用powershell啟動管理員權限的cmd行程,
- powershell start-process cmd -verb runas
管理員打開cmd如下圖所示:
第四步,在管理員權限的cmd上,創建一個普通賬號eastmount,
- net user lowuser /add
360安全軟體會發現修改用戶賬號權限,我們讓其允許即可,
第五步,通過net user eastmount發現其為普通權限賬號,
- net user eastmount
第六步,輸入命令為賬戶eastmount設定密碼,
- net user eastmount *
第七步,關閉cmd命令視窗,注銷管理員權限的xiuzhang賬戶,
第八步,通過普通賬戶eastmount登錄Win10系統,
同時,設定顯示檔案擴展名和隱藏專案,
第九步,創建command.bat檔案,輸入命令如下將eastmount賬號加入管理員權限,
- @echo off
- net localgroup administrators eastmount /add
第十步,在eastmount普通用戶權限下運行xampp,并在控制面板上找到config配置,
- 默認打開notepad.exe
修改編輯器的默認配置,更改為剛才創建的command.bat檔案,添加并應用如下圖所示,
第十一步,查看eastmount的用戶組,還是普通權限,注銷該賬戶,
第十二步,再次以管理員(xiuzhang)登錄到windows10系統,
第十三步,打開XAMPP控制面板,點擊查看logs檔案并運行,
此時安全軟體同樣會提示你用戶賬號權限被修改,點擊允許即可,
第十四步,切換到eastmount賬戶,運行cmd查看用戶組,發現已經提升為administators組,
自此,利用XAMPP任意命令執行漏洞提升權限(CVE-2020-11107)實驗復現完畢,我們成功將普通用戶eastmount提升到管理員賬戶,真實環境中該漏洞通常位于后滲透階段的權限提升中,具有嚴重的危害性,甚至我們可以根據此方法實作任意命令執行,請大家繼續深入研究,
四.防御及總結
寫到這里,這篇基礎文章就介紹完畢,攻擊者通過XAMPP的全域配置將Config的檔案改成惡意檔案,從而提升本地低權限用戶,在滲透測驗和內網測驗中危害較大,真實環境中該漏洞大概率用于后滲透階段的權限提升,
實驗的要點:
- Windows系統的XAMPP才存在該漏洞
- 新建系統普通用戶并設定XAMPP打開惡意exe或bat檔案路徑
- 注銷普通用戶
- 管理員賬戶登錄并通過XAMPP面板查看logs檔案,惡意執行bat檔案實作提權
解決方法是使用修復版本或者盡量不適用存在漏洞的軟體,同時安全防護軟體也非常必要,目前廠商已經發布了修復改漏洞的新版本,可從該網頁下載新的安裝程式,
- http://www.apachefriends.org/download.html
學安全一年,認識了很多安全大佬和朋友,希望大家一起進步,這篇文章中如果存在一些不足,還請海涵,作者作為網路安全初學者的慢慢成長路吧!希望未來能更透徹撰寫相關文章,同時非常感謝參考文獻中的安全大佬們的文章分享,深知自己很菜,得努力前行,
秋冷空廊夜,
思卿照堂前,
(By:Eastmount 2020-09-16 星期三 晚上11點寫于武漢 http://blog.csdn.net/eastmount/ )
參考文章:
- https://nvd.nist.gov/vuln/detail/CVE-2020-11107#match-4561426
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11107
- https://www.xampp.cc/archives/9262
- https://www.bilibili.com/video/BV1Zg4y187u9
- https://github.com/S1lkys/CVE-2020-11107/
- https://www.apachefriends.org/blog/new_xampp_20200401.html
- https://www.cnblogs.com/wang1212-/p/13625761.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/80467.html
標籤:區塊鏈