以下是该网页截图中关于漏洞的关键信息汇总: ### 漏洞概述 - **项目名称**: CentOS-WebPanel - **描述**: PoC脚本,用于演示CentOS Web Panel中的漏洞。 ### 漏洞类型 - **Pre Auth RCE** - **影响版本**: <= 0.9.8.1120 - **利用方式**: 通过本地文件包含漏洞和命令注入漏洞组合实现根权限的远程代码执行。 - **Account Takeover** - **利用方式**: 利用可预测的数据生成重置令牌,允许攻击者重置任意用户帐户密码。 - **Internal API** - **问题**: 内部API未保护,任何有文件管理器访问权限的用户都可以调用API。 - **功能**: 列举、修改和创建账户等功能暴露。 - **Run Command as root (User Login)** - **问题**: 用户登录流程中存在命令注入漏洞,通过注入数据到`user_lang`参数获取root权限。 - **利用方式**: 需要有效用户名和密码,可与账户接管漏洞结合使用。 - **Run Command as root (User Modules)** - **影响版本**: <= 0.9.8.1124 - **利用方式**: 在多个模块的POST参数中注入命令获取root权限。 ### 漏洞模块 - **DNS记录添加命令注入** - **数据库优化命令注入** - **磁盘使用命令注入** - **SSL证书信息命令注入** - **错误日志查看器命令注入** ### 检测方式 - **Shodan**: 提供具体搜索URL。 - **识别标志**: `Server: cwpsrv`, `Set-Cookie: cwpsrv-` ### 总结 以上信息展示了CentOS Web Panel中的多个严重漏洞,包括权限提升、账户接管、API未保护、命令注入等,攻击者可以利用这些漏洞获取完全控制。