漏洞描述:
Webmin是一款功能强大的基于Web的系统管理工具,被广泛应用于Unix系统,由于Webmin中Password_Change.cgi在接收请求的处理过程中,old参数存在命令注入漏洞,可被攻击者恶意利用。当用户开启Webmin密码重置功能后,攻击者利用该漏洞可在易受损系统中执行任意命令,进而获取系统Shell。
影响版本:
Webmin 1.920及以下版本
环境搭建:
环境搭建:https://github.com/vulhub/vulhub/tree/master/webmin/CVE-2019-15107
访问页面,忽略证书后即可看到webmin的登录页面
漏洞利用:
使用 EXP 对漏洞进行利用: