CVE-2019-15107 PoC — Webmin 命令操作系统命令注入漏洞

来源

https://github.com/g1vi/CVE-2019-15107

关联漏洞

标题:Webmin 命令操作系统命令注入漏洞 (CVE-2019-15107)
Description:Webmin是一套基于Web的用于类Unix操作系统中的系统管理工具。 Webmin 1.920及之前版本中的password_change.cgi存在命令操作系统命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

Description

webmin <=1.920 - RCE via command injection vulnerability

介绍

# CVE-2019-15107

https://www.cvedetails.com/cve/CVE-2019-15107/

An issue was discovered in Webmin <=1.920. The parameters "old" and "expire" in password_change.cgi contain a command injection vulnerability.

### Usage
1. Start a listener on red box.
```
   rlwrap -cAr nc -lvp 1919
```
2. Run the exploit
```
   ./exploit.sh
```
3. Arguments will be prompted:
    * ip address of the target
    * target port running webmin (usually 10000)
    * local listener port
    * local interface where the listener is running (eth0, tun0, etc)

Let the stuff run, a reverse shell is received on listener.

### Example
![image](https://user-images.githubusercontent.com/120142960/229232531-14fdb88c-71f2-4c8b-aacf-35965ed5051b.png)

### License
Feel free to use or modify whenever and wherever you like

文件快照

登录后查看神龙缓存的 POC 文件快照

登录查看

备注

1. 建议优先通过来源进行访问。

2. 本地 POC 快照面向订阅用户开放；当原始来源失效或无法访问时，本地镜像作为订阅权益的一部分提供。

查看订阅方案 →

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2019-15107 PoC — Webmin 命令操作系统命令注入漏洞

来源

关联漏洞

Description

介绍

文件快照

备注

目标达成感谢每一位支持者 — 我们达成了 100% 目标！