- 漏洞說明
XAMPP是一個把Apache網頁服務器與PHP、Perl及MariaDB集合在一起的安裝包,允許用戶可以在自己的電腦上輕易的建立網頁服務器。該軟件與phpstudy類似。在windows下,XAMPP允許非管理員賬號訪問和修改其編輯器和瀏覽器的配置,編輯器的默認配置為notepad.exe,一旦修改配置后,則對應的每個可以訪問XAMPP控制面板的用戶都更改了配置。當攻擊者將編輯器的值設置為惡意的.exe文件或.bat文件,與此同時如果有管理員賬號通過XAMPP控制面板查看apache的日志文件,便會執行惡意的.exe文件或.bat文件,以此達到任意命令執行。
- 漏洞影響范圍
Apache Friends XAMPP <7.2.29
Apache Friends XAMPP 7.3.*,<7.3.16
Apache Friends XAMPP 7.4.*,<7.4.4
- 環境搭建
在虛擬機上裝上windows系統,本次復現以windows10為例。
下載XAMPP,本次復現以7.4.3為例,下載地址:https://sourceforge.net/projects/xampp/files/
環境安裝和配置:
第一部分:首先以管理員的身份登錄到windows10
運行cmd查看當前用戶,這里的xw即登錄的有管理員權限的賬戶
使用管理員權限安裝XAMPP,根據提示不要安裝在C盤。
運行cmd,輸入如下命令:powershell start-process cmd -verb runas(用powershell啟動管理員權限的cmd進程),在管理員權限的cmd上,輸入:net user lowuser /add,創建一個普通用戶lowuser,通過net user lowuser可知為普通權限用戶:
輸入命令net user lowuser*為lowuser設置密碼:
關閉cmd命令窗口,注銷管理員權限的xw用戶。
漏洞利用:
以普通用戶lowuser登錄到windows10
輸入上面設置的密碼,登錄lowuser用戶:
設置顯示文件擴展名和隱藏項目
創建command.bat文件,輸入命令如下,其作用是將lowuser賬號加入管理員權限:
@echo off
Net localgroup administrators lowuser /add
運行xampp,並在控制面板上找到config配置。
修改編輯器的默認配置,更改為剛才創建的command.bat文件,添加並應用,如下圖所示:
查看lowuser的用戶組,還是普通權限,注銷lowuser賬戶。
再次以管理員(xw)登錄到windows10:
打開XAMPP控制面板,點擊查看logs文件:
切換到lowuser賬戶
運行cmd,查看lowuser用戶組,發現已經提升為administators組
- 漏洞復盤
以上,即漏洞復現全過程,實現了lowuser從普通賬號到管理賬號的權限提升,真實環境中該漏洞大概率用於后滲透階段的提權提升。
對漏洞的基本面進行復盤:
條件1:windows系統。
條件2:裝有XAMPP。
條件3:擁有系統普通賬戶。
條件4:管理員賬戶通過XAMPP面板查看logs文件。
- 修復方式
廠商已發布了新版本,可以從
http://www.apachefriends.org/download.html下載這些新的安裝程序。