這是作者網路安全自學教程系列，主要是關于安全工具和實踐操作的在線筆記，特分享出來與博友們學習，希望您喜歡，一起進步，前文分享了木馬病毒提權技術，包括行程訪問令牌權限提升和Bypass UAC，這篇文章將復現CVE-2020-11107漏洞，利用XAMPP任意命令執行漏洞提升權限，希望對您有所幫助，

作者作為網路安全的小白，分享一些自學基礎教程給大家，主要是關于安全工具和實踐操作的在線筆記，希望您們喜歡，同時，更希望您能與我一起操作和進步，后續將深入學習網路安全和系統安全知識并分享相關實驗，總之，希望該系列文章對博友有所幫助，寫文不易，大神們不喜勿噴，謝謝！如果文章對您有幫助，將是我創作的最大動力，點贊、評論、私聊均可，一起加油喔~

作者的github資源：
軟體安全：https://github.com/eastmountyxz/Software-Security-Course
其他工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker：https://github.com/eastmountyxz/Windows-Hacker-Exp

宣告：本人堅決反對利用教學方法進行犯罪的行為，一切犯罪行為必將受到嚴懲，綠色網路需要我們共同維護，更推薦大家了解它們背后的原理，更好地進行防護，

前文學習：
[網路安全自學篇] 一.入門筆記之看雪Web安全學習及異或解密示例
[網路安全自學篇] 二.Chrome瀏覽器保留密碼功能滲透決議及登錄加密入門筆記
[網路安全自學篇] 三.Burp Suite工具安裝配置、Proxy基礎用法及暴庫示例
[網路安全自學篇] 四.實驗吧CTF實戰之WEB滲透和隱寫術解密
[網路安全自學篇] 五.IDA Pro反匯編工具初識及逆向工程解密實戰
[網路安全自學篇] 六.OllyDbg動態分析工具基礎用法及Crakeme逆向
[網路安全自學篇] 七.快手視頻下載之Chrome瀏覽器Network分析及Python爬蟲探討
[網路安全自學篇] 八.Web漏洞及埠掃描之Nmap、ThreatScan和DirBuster工具
[網路安全自學篇] 九.社會工程學之基礎概念、IP獲取、IP物理定位、檔案屬性
[網路安全自學篇] 十.論文之基于機器學習演算法的主機惡意代碼
[網路安全自學篇] 十一.虛擬機VMware+Kali安裝入門及Sqlmap基本用法
[網路安全自學篇] 十二.Wireshark安裝入門及抓取網站用戶名密碼（一）
[網路安全自學篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及資料流追蹤和影像抓取（二）
[網路安全自學篇] 十四.Python攻防之基礎常識、正則運算式、Web編程和套接字通信（一）
[網路安全自學篇] 十五.Python攻防之多執行緒、C段掃描和資料庫編程（二）
[網路安全自學篇] 十六.Python攻防之弱口令、自定義字典生成及網站暴庫防護
[網路安全自學篇] 十七.Python攻防之構建Web目錄掃描器及ip代理池（四）
[網路安全自學篇] 十八.XSS跨站腳本攻擊原理及代碼攻防演示（一）
[網路安全自學篇] 十九.Powershell基礎入門及常見用法（一）
[網路安全自學篇] 二十.Powershell基礎入門及常見用法（二）
[網路安全自學篇] 二十一.GeekPwn極客大賽之安全攻防技術總結及ShowTime
[網路安全自學篇] 二十二.Web滲透之網站資訊、域名資訊、埠資訊、敏感資訊及指紋資訊收集
[網路安全自學篇] 二十三.基于機器學習的惡意請求識別及安全領域中的機器學習
[網路安全自學篇] 二十四.基于機器學習的惡意代碼識別及人工智能中的惡意代碼檢測
[網路安全自學篇] 二十五.Web安全學習路線及木馬、病毒和防御初探
[網路安全自學篇] 二十六.Shodan搜索引擎詳解及Python命令列呼叫
[網路安全自學篇] 二十七.Sqlmap基礎用法、CTF實戰及請求引數設定（一）
[網路安全自學篇] 二十八.檔案上傳漏洞和Caidao入門及防御原理（一）
[網路安全自學篇] 二十九.檔案上傳漏洞和IIS6.0決議漏洞及防御原理（二）
[網路安全自學篇] 三十.檔案上傳漏洞、編輯器漏洞和IIS高版本漏洞及防御（三）
[網路安全自學篇] 三十一.檔案上傳漏洞之Upload-labs靶場及CTF題目01-10（四）
[網路安全自學篇] 三十二.檔案上傳漏洞之Upload-labs靶場及CTF題目11-20（五）
[網路安全自學篇] 三十三.檔案上傳漏洞之繞狗一句話原理和繞過安全狗（六）
[網路安全自學篇] 三十四.Windows系統漏洞之5次Shift漏洞啟動計算機
[網路安全自學篇] 三十五.惡意代碼攻擊溯源及惡意樣本分析
[網路安全自學篇] 三十六.WinRAR漏洞復現（CVE-2018-20250）及惡意軟體自啟動劫持
[網路安全自學篇] 三十七.Web滲透提高班之hack the box在線靶場注冊及入門知識（一）
[網路安全自學篇] 三十八.hack the box滲透之BurpSuite和Hydra密碼爆破及Python加密Post請求（二）
[網路安全自學篇] 三十九.hack the box滲透之DirBuster掃描路徑及Sqlmap高級注入用法（三）
[網路安全自學篇] 四十.phpMyAdmin 4.8.1后臺檔案包含漏洞復現及詳解（CVE-2018-12613）
[網路安全自學篇] 四十一.中間人攻擊和ARP欺騙原理詳解及漏洞還原
[網路安全自學篇] 四十二.DNS欺騙和釣魚網站原理詳解及漏洞還原
[網路安全自學篇] 四十三.木馬原理詳解、遠程服務器IPC$漏洞及木馬植入實驗
[網路安全自學篇] 四十四.Windows遠程桌面服務漏洞（CVE-2019-0708）復現及詳解
[網路安全自學篇] 四十五.病毒詳解及批處理病毒制作（自啟動、修改密碼、定時關機、藍屏、行程關閉）
[網路安全自學篇] 四十六.微軟證書漏洞CVE-2020-0601 (上)Windows驗證機制及可執行檔案簽名復現
[網路安全自學篇] 四十七.微軟證書漏洞CVE-2020-0601 (下)Windows證書簽名及HTTPS網站劫持
[網路安全自學篇] 四十八.Cracer第八期——(1)安全術語、Web滲透流程、Windows基礎、注冊表及黑客常用DOS命令
[網路安全自學篇] 四十九.Procmon軟體基本用法及檔案行程、注冊表查看
[網路安全自學篇] 五十.虛擬機基礎之安裝XP系統、檔案共享、網路快照設定及Wireshark抓取BBS密碼
[網路安全自學篇] 五十一.惡意樣本分析及HGZ木馬控制目標服務器
[網路安全自學篇] 五十二.Windows漏洞利用之堆疊溢位原理和堆疊保護GS機制
[網路安全自學篇] 五十三.Windows漏洞利用之Metasploit實作堆疊溢位攻擊及反彈shell
[網路安全自學篇] 五十四.Windows漏洞利用之基于SEH例外處理機制的堆疊溢位攻擊及shell提取
[網路安全自學篇] 五十五.Windows漏洞利用之構建ROP鏈繞過DEP并獲取Shell
[網路安全自學篇] 五十六.i春秋老師分享小白滲透之路及Web滲透技術總結
[網路安全自學篇] 五十七.PE檔案逆向之什么是數字簽名及Signtool簽名工具詳解（一）
[網路安全自學篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反彈shell
[網路安全自學篇] 五十九.Windows漏洞利用之MS08-067遠程代碼執行漏洞復現及shell深度提權
[網路安全自學篇] 六十.Cracer第八期——(2)五萬字總結Linux基礎知識和常用滲透命令
[網路安全自學篇] 六十一.PE檔案逆向之數字簽名詳細決議及Signcode、PEView、010Editor、Asn1View等工具用法（二）
[網路安全自學篇] 六十二.PE檔案逆向之PE檔案決議、PE編輯工具使用和PE結構修改（三）
[網路安全自學篇] 六十三.hack the box滲透之OpenAdmin題目及蟻劍管理員提權（四）
[網路安全自學篇] 六十四.Windows漏洞利用之SMBv3服務遠程代碼執行漏洞（CVE-2020-0796）復現及詳解
[網路安全自學篇] 六十五.Vulnhub靶機滲透之環境搭建及JIS-CTF入門和蟻劍提權示例（一）
[網路安全自學篇] 六十六.Vulnhub靶機滲透之DC-1提權和Drupal漏洞利用（二）
[網路安全自學篇] 六十七.WannaCry勒索病毒復現及分析（一）Python利用永恒之藍及Win7勒索加密
[網路安全自學篇] 六十八.WannaCry勒索病毒復現及分析（二）MS17-010利用及病毒決議
[網路安全自學篇] 六十九.宏病毒之入門基礎、防御措施、自發郵件及APT28樣本分析
[網路安全自學篇] 七十.WannaCry勒索病毒復現及分析（三）蠕蟲傳播機制分析及IDA和OD逆向
[網路安全自學篇] 七十一.深信服分享之外部威脅防護和勒索病毒對抗
[網路安全自學篇] 七十二.逆向分析之OllyDbg動態除錯工具（一）基礎入門及TraceMe案例分析
[網路安全自學篇] 七十三.WannaCry勒索病毒復現及分析（四）蠕蟲傳播機制全網原始碼詳細解讀
[網路安全自學篇] 七十四.APT攻擊檢測溯源與常見APT組織的攻擊案例
[網路安全自學篇] 七十五.Vulnhub靶機滲透之bulldog資訊收集和nc反彈shell（三）
[網路安全自學篇] 七十六.逆向分析之OllyDbg動態除錯工具（二）INT3斷點、反除錯、硬體斷點與記憶體斷點
[網路安全自學篇] 七十七.惡意代碼與APT攻擊中的武器（強推Seak老師）
[網路安全自學篇] 七十八.XSS跨站腳本攻擊案例分享及總結（二）
[網路安全自學篇] 七十九.Windows PE病毒原理、分類及感染方式詳解
[網路安全自學篇] 八十.WHUCTF之WEB類解題思路WP（代碼審計、檔案包含、過濾繞過、SQL注入）
[網路安全自學篇] 八十一.WHUCTF之WEB類解題思路WP（檔案上傳漏洞、冰蝎蟻劍、反序列化phar）
[網路安全自學篇] 八十二.WHUCTF之隱寫和逆向類解題思路WP（文字解密、圖片解密、佛語解碼、冰蝎流量分析、逆向分析）
[網路安全自學篇] 八十三.WHUCTF之CSS注入、越權、csrf-token竊取及XSS總結
[網路安全自學篇] 八十四.《Windows黑客編程技術詳解》之VS環境配置、基礎知識及DLL延遲加載詳解
[網路安全自學篇] 八十五.《Windows黑客編程技術詳解》之注入技術詳解（全域鉤子、遠執行緒鉤子、突破Session 0注入、APC注入）
[網路安全自學篇] 八十六.威脅情報分析之Python抓取FreeBuf網站APT文章（上）
[網路安全自學篇] 八十七.惡意代碼檢測技術詳解及總結
[網路安全自學篇] 八十八.基于機器學習的惡意代碼檢測技術詳解
[網路安全自學篇] 八十九.PE檔案決議之通過Python獲取時間戳判斷軟體來源地區
[網路安全自學篇] 九十.遠控木馬詳解及APT攻擊中的遠控
[網路安全自學篇] 九十一.阿里云搭建LNMP環境及實作PHP自定義網站IP訪問 (1)
[網路安全自學篇] 九十二.《Windows黑客編程技術詳解》之病毒啟動技術創建行程API、突破SESSION0隔離、記憶體加載詳解（3）
[網路安全自學篇] 九十三.《Windows黑客編程技術詳解》之木馬開機自啟動技術（注冊表、計劃任務、系統服務）
[網路安全自學篇] 九十四.《Windows黑客編程技術詳解》之提權技術（令牌權限提升和Bypass UAC）

前文欣賞：
[滲透&攻防] 一.從資料庫原理學習網路攻防及防止SQL注入
[滲透&攻防] 二.SQL MAP工具從零解讀資料庫及基礎用法
[滲透&攻防] 三.資料庫之差異備份及Caidao利器
[滲透&攻防] 四.詳解MySQL資料庫攻防及Fiddler神器分析資料包

一.漏洞描述

XAMPP（Apache+MySQL+PHP+PERL）是一個功能強大的建站集成軟體包，能夠把Apache網頁服務器與PHP、Perl及MariaDB集合在一起的安裝包，允許用戶可以在自己的電腦上輕易的建立網頁服務器，并且能在Windows、Linux、Solaris、Mac OS等多種作業系統下安裝使用，該軟體與phpstudy類似，

漏洞成因：
2020年4月1日Apache Friends官方發布了XAMPP新版本，該更新解決了Windows Platforms CVE-2020-11107安全漏洞，該漏洞存在于Windows系統下，XAMPP允許無特權的用戶訪問和修改其編輯器和瀏覽器配置，編輯器的默認配置為notepad.exe，一旦修改配置后，對應每個可以訪問XAMPP控制面板的用戶都更改了配置，

比如，攻擊者修改“xampp-contol.ini”，將其設定為惡意.exe或.bat檔案，與此同時如果有管理員賬號通過XAMPP控制面板查看apache的日志檔案，便會執行惡意的.exe檔案或.bat檔案，以此達到任意命令執行，

影響范圍：

• 影響僅限Windows作業系統（Linux或Mac OS不會被影響）
• Apache Friends XAMPP < 7.2.29
• Apache Friends XAMPP 7.3.*，< 7.3.16
• Apache Friends XAMPP 7.4.*，< 7.4.4

二.環境搭建

實驗環境：

• Windows 10 64位作業系統
• XAMPP V3.2.2
• 下載地址：https://sourceforge.net/projects/xampp/files/

基本流程：

• 查看當前用戶權限
• 啟動管理員權限打開CMD行程
• 在管理員權限下增加普通權限賬戶
• 通過批處理和XAMPP將普通用戶權限提升至管理員權限

三.漏洞復現

第一步，以管理員身份登錄到windows10，運行cmd查看當前用戶xiuzhang，

• net user
• whoami

輸入命令發現當前用戶為管理員權限賬戶，

• net user xiuzhang

第二步，使用管理員權限安裝XAMPP，最后安裝完成如下圖所示，

第三步，運行cmd，輸入如下命令用powershell啟動管理員權限的cmd行程，

• powershell start-process cmd -verb runas

管理員打開cmd如下圖所示：

第四步，在管理員權限的cmd上，創建一個普通賬號eastmount，

• net user lowuser /add

360安全軟體會發現修改用戶賬號權限，我們讓其允許即可，

第五步，通過net user eastmount發現其為普通權限賬號，

• net user eastmount

第六步，輸入命令為賬戶eastmount設定密碼，

• net user eastmount *

第七步，關閉cmd命令視窗，注銷管理員權限的xiuzhang賬戶，

第八步，通過普通賬戶eastmount登錄Win10系統，

同時，設定顯示檔案擴展名和隱藏專案，

第九步，創建command.bat檔案，輸入命令如下將eastmount賬號加入管理員權限，

• @echo off
• net localgroup administrators eastmount /add

第十步，在eastmount普通用戶權限下運行xampp，并在控制面板上找到config配置，

• 默認打開notepad.exe

修改編輯器的默認配置，更改為剛才創建的command.bat檔案，添加并應用如下圖所示，

第十一步，查看eastmount的用戶組，還是普通權限，注銷該賬戶，

第十二步，再次以管理員（xiuzhang）登錄到windows10系統，

第十三步，打開XAMPP控制面板，點擊查看logs檔案并運行，

此時安全軟體同樣會提示你用戶賬號權限被修改，點擊允許即可，

第十四步，切換到eastmount賬戶，運行cmd查看用戶組，發現已經提升為administators組，

自此，利用XAMPP任意命令執行漏洞提升權限（CVE-2020-11107）實驗復現完畢，我們成功將普通用戶eastmount提升到管理員賬戶，真實環境中該漏洞通常位于后滲透階段的權限提升中，具有嚴重的危害性，甚至我們可以根據此方法實作任意命令執行，請大家繼續深入研究，

四.防御及總結

寫到這里，這篇基礎文章就介紹完畢，攻擊者通過XAMPP的全域配置將Config的檔案改成惡意檔案，從而提升本地低權限用戶，在滲透測驗和內網測驗中危害較大，真實環境中該漏洞大概率用于后滲透階段的權限提升，

實驗的要點：

• Windows系統的XAMPP才存在該漏洞
• 新建系統普通用戶并設定XAMPP打開惡意exe或bat檔案路徑
• 注銷普通用戶
• 管理員賬戶登錄并通過XAMPP面板查看logs檔案，惡意執行bat檔案實作提權

解決方法是使用修復版本或者盡量不適用存在漏洞的軟體，同時安全防護軟體也非常必要，目前廠商已經發布了修復改漏洞的新版本，可從該網頁下載新的安裝程式，

• http://www.apachefriends.org/download.html

學安全一年，認識了很多安全大佬和朋友，希望大家一起進步，這篇文章中如果存在一些不足，還請海涵，作者作為網路安全初學者的慢慢成長路吧！希望未來能更透徹撰寫相關文章，同時非常感謝參考文獻中的安全大佬們的文章分享，深知自己很菜，得努力前行，

秋冷空廊夜，
思卿照堂前，

(By:Eastmount 2020-09-16 星期三 晚上11點寫于武漢 http://blog.csdn.net/eastmount/ )

參考文章：

• https://nvd.nist.gov/vuln/detail/CVE-2020-11107#match-4561426
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11107
• https://www.xampp.cc/archives/9262
• https://www.bilibili.com/video/BV1Zg4y187u9
• https://github.com/S1lkys/CVE-2020-11107/
• https://www.apachefriends.org/blog/new_xampp_20200401.html
• https://www.cnblogs.com/wang1212-/p/13625761.html