如何攻击XAMPP

XAMPP是PHP的流行安装环境。xampp是一款windows下的php环境快速搭建工具,安装后能够立即使用php。一般默认的会安装php、apache、FTP、phpMyAdmin、MySQL和webalizer。

发现XAMPP

inurl:/xampp/status.php
http://127.0.0.1/xampp/status.php
http://127.0.0.1/xampp/aspinfo.asp
http://127.0.0.1/xampp/phpinfo.php
http://127.0.0.1/security/
http://127.0.0.1/phpmyadmin/
http://127.0.0.1/webalizer/webalizer.php

xampp的 默认用户名和密码

root:null
pma:null
phpmyadmin:phpmyadmin

FTP默认密码

一个默认用户 “newuser”, 密码为 “wampp”. 用户目录为 xampp\htdocs

newuser:wampp

真实案例

xampp的版本的安全性逐步提升,以前访问http://ip/xampp/ 可直接看到,但是现在需要进行basic认证。xampp目录认证的情况下,我们访问http://127.0.0.1/webalizer/webalizer.php目录,一般该目录不会进行认证,通过该页面查看其统计数据,包括一些特殊的路径,如管理员路径、新的应用路径,幸运的话可以直接看到别人留下的webshell的地址。
恰巧该机器下看到了别人的webshell,访问发现需要密码,弱口令进之。
文章到此就结束了,喜欢我们就请长按下面的图片关注我们吧。


如何攻击XAMPP_第1张图片


你可能感兴趣的:(如何攻击XAMPP)