最近开源社区好像特别流行 WAF,到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。
我也是宝塔面板的四五年的老用户了,几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了一套,结果没几天发现服务器被人放了挖矿木马。
这段时间除了安装 WAF,服务器我基本没动过,我第一反应是不是宝塔被黑了,不过我之前用了好几年的宝塔面板,好像也没啥问题,抱着试一试的态度,把宝塔扔进了 IDA,果然找到了一个 RCE,可以通过宝塔 WAF 直接拿到 root 权限,漏洞细节如下:
第一步:打开宝塔 WAF 以后,随便创建一个防护网站,这个很简单,不赘述。
第二步:进入 "网站加速" 功能,打开刚刚创建的网站的加速状态,如图:
第三步:点击 "配置缓存",如图:
第四步:点击 "清除所有缓存",如图:
漏洞就出在这个地方,注意了,在刚刚点击 "清除所有缓存" 时,看到浏览器发了两个包出去,如图:
第一个包请求了一个叫 "clear_cache" 的 API,其中包含了一个叫 "site_id" 的参数,如图:
这个参数没做校验直接带入了系统命令之中,参考 IDA:
第五步,尝试修改 "site_id" 参数进行命令注入,加一个分号以后就可以随便写 bash 命令了,这里我写了一个 "touch /tmp/hack"
请求提交以后看看服务器,/tmp/hack 文件果然被创建成功,如图:
至此漏洞利用完成,touch /tmp/hack 仅作为演示,实际可以通过宝塔 WAF 拿到 root 权限,进而控制整个服务器。
截至发文时间,最新版测试已经修复!
`本文作者:爱的主打歌``原文地址:https://www.freebuf.com/vuls/390723.html`
关注公众号后台回复 0001 领取域渗透思维导图,0002 领取VMware 17永久激活码,0003 获取SGK地址,0004 获取在线ChatGPT地址,0005 获取 Windows10渗透集成环境,0006 获取 CobaltStrike 4.9.1破解版
加我微信好友,邀请你进交流群
往期推荐
[
GitLab 任意用户密码重置漏洞复现(CVE-2023-7028)
[
机圈大地震!
[
JS逆向实战:RPC + Mitmproxy
[
记一次CMS系统通杀0day审计
[
BeanShell注入内存马
[
银狐处置及分析
[
浅谈安全方向的学习方法
[
记一次校内的XX系统渗透
[
极端容器场景下的远程文件下载思路
[
实战下的内网中继攻击问题
[
对某菠菜的渗透测试笔记
[
绕过AV进行UserAdd的方法总结及实现
[
某次近源攻击到内网漫游拿下域控以及Vcenter
[
某次以目的为导向的内网渗透-取开发源码
[
APT29利用CVE-2023-38831攻击大使馆
[
微信PC客户端存在@全体逻辑错误
[
对某app的加密定位与hook
[
《永结无间》客户端RCE漏洞
[
发现新恶意团伙"紫狐"!针对finalshell的供应链事件
备用号,欢迎关注
