xampp-文件写入(CVE-2013-2586)

  • 开发
  • 37

漏洞描述:

XAMPP 1.8.1的"/xampp/lang.php"页面存在注入漏洞,未授权用户可在本地磁盘内写入,本地文件 "lang.tmp"可以从远程机器上进行修改,可在目标用户浏览器中执行任意HTML或脚本代码,窃取用户凭证之类的敏感信息

复现过程:

  1. 访问ip:port

2.访问http://ip:port/xampp/lang.php?WriteIntoLocalDisk

3.访问http://ip:port/xampp/lang.tmp

回显WriteIntoLocalDisk

说明写入成功

4. 回到http://ip:port/xampp/splash.php

点击中文进入

5. 点击phpinfo()

修复建议:

厂商补丁:

xampp
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.apachefriends.org/zh_cn/xampp.html

阅读全部

相关推荐

最近更新

  4. TCP协议是安全的吗?

    2023-12-29 01:00:02       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2023-12-29 01:00:02       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2023-12-29 01:00:02       18 阅读

  18. 通过文章id递归查询所有评论(xml)

    2023-12-29 01:00:02       20 阅读

热门阅读

  1. Vue解决跨域问错误:has been blocked by CORS policy 后端跨域配置

    2023-12-29 01:00:02       37 阅读
  2. c++ day3

    c++ day3

    2023-12-29 01:00:02      34 阅读

  4. MySQL-长事务详解

    2023-12-29 01:00:02       32 阅读

  6. 力扣热题100道-子串篇

    2023-12-29 01:00:02       30 阅读

  9. mysql的统计数据count

    2023-12-29 01:00:02       26 阅读

  15. C++ 657. 机器人能否返回原点 简单模拟

    2023-12-29 01:00:02       33 阅读

  18. Oracle字符串-日期转换

    2023-12-29 01:00:02       31 阅读

  20. oracle数据库什么是表的死锁,死锁的产生原因,怎么查询死锁的表信息,解决死锁的方法;给出具体业务场景与代码示例

    2023-12-29 01:00:02       45 阅读

  27. 要让一个批处理文件(.bat)在每次开关机时自动运行

    2023-12-29 01:00:02       38 阅读

  29. 【C#】C#中System.Timers.Timer定时触发事件的计时器类,运用

    2023-12-29 01:00:02       39 阅读

  30. AIGC未来在召唤:加入第六期AIGC大模型工程师和产品专家培训计划!

    2023-12-29 01:00:02       34 阅读