Webmin(CVE-2021-31760)
漏洞简介:
Webmin是基于Web的界面的用于类Unix的系统管理工具。该工具基于BS架构,可以让你很轻易的使用任何现代的Web浏览器,很轻易的管理您的服务器。
近日,Webmin官方通告了三个CVE漏洞,包括CVE-2021-31760,CVE-2021-31761,CVE-2021-31762。远程攻击者可以通过社工管理员,通过CSRF漏洞以及XSS漏洞,实现对远程服务器的代码执行,进而控制并接管服务器。
以下复现第一个CVE-2021-31760
影响范围
Webmin<=1.9734
漏洞poc下载
https://github.com/electronicbots/CVE-2021-31760
漏洞复现
环境搭建:docker
1.下载webmin
wget http://prdownloads.sourceforge.net/webadmin/webmin_1.973_all.deb
2.安装依赖
apt-get install perl libnet-ssleay-perl openssl libauthen-pam-perl libpam-runtime libio-pty-perl apt-show-versions python unzip
3.安装Webmin
dpkg -i webmin_1.973_all.deb
安装完成后,系统默认开启10000端口,链接访问即可:https://ubuntu:10000