webmin远程命令执行漏洞(cve-2019-15107)深入分析

蔚落 2021-08-30 20:46 912阅读 0赞

## 漏洞描述 ##

近日Webmin被发现存在一处远程命令执行漏洞，经过分析后，初步猜测其为一次**后门**植入事件。

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。据统计，互联网上大约有13w台机器使用Webmin。当用户开启Webmin密码重置功能后，攻击者可以通过发送POST请求在目标系统中执行任意命令，且无需身份验证。

## 漏洞分析 ##

首先分析msf给出的插件

[![format_png][]][format_png 1]

根据插件，还原出poc如下：

[![format_png 2][]][format_png 2 1]

当poc执行后，会向password\_change.cgi发送POST请求

接下来看下password\_change.cgi

位于37行到188行处，存在if-else语句

他们分别是

1、if ($wuser)

[![format_png 3][]][format_png 3 1]

2、elsif ($gconfig\{‘passwd\_cmd’\})

[![format_png 4][]][format_png 4 1]

3、elsif ($in\{‘pam’\})

[![format_png 5][]][format_png 5 1]

4、else

[![format_png 6][]][format_png 6 1]

我们需要确认，程序到底进入那个if分支了

我们先print $wuser

[![format_png 7][]][format_png 7 1]

[![format_png 8][]][format_png 8 1]

从上图打印结果看，wuser不为空，所以这里直接进入if ($wuser)分支

在if ($wuser)分支中，首先执行encrypt\_password方法，如下图红框处

[![format_png 9][]][format_png 9 1]

encrypt\_password方法位于aclacl-lib.pl

[![format_png 10][]][format_png 10 1]

该方法的底层，调用了crypt方法，如下图，位于acl/md5-lib.pl中

[![format_png 11][]][format_png 11 1]

[![format_png 12][]][format_png 12 1]

传入该crypt方法的第一个参数为$passwd

打印此时passwd

[![format_png 13][]][format_png 13 1]

[![format_png 14][]][format_png 14 1]

可见值为 AkkuS|dir，也就是POST请求中的old参数值

encrypt\_password底层调用crypt进行编码后，将计算值return,赋值给$enc,如下图

[![format_png 15][]][format_png 15 1]

由于我们传入的pass(AkkuS|dir)并不是root用户的密码，下图红框处的eq结果为false

[![format_png 16][]][format_png 16 1]

因此触发pass\_error，系统需要把Failed to change password : The current password is incorrect这个信息反馈给用户

[![format_png 17][]][format_png 17 1]

但是注意上图红框处，在pass\_error方法的传参中，$in\{’old’\}被 qx/ /包裹

了解下qx/ /在perl中的用法：

[![format_png 18][]][format_png 18 1]

qx执行外部程序，相当于“

也就是说，$in\{’old’\}的值会被执行。$in\{’old’\}就是POST中传入的old参数，可控，所以这里造成了任意代码执行漏洞。

值得注意的是，POST中的old参数，是用户修改密码时所提交的旧密码。众所周知，密码是一个字符串，而非可执行代码，这里将传入的旧密码字符串拿来执行，并非正常业务逻辑所为。

不仅如此，$in\{‘old’\}的值在被执行后，会拼接在$text\{‘password\_eold’\}参数后面，一同传入pass\_error中，如下图

[![format_png 19][]][format_png 19 1]

打印$text\{‘password\_eold’\}，查看它的值

[![format_png 20][]][format_png 20 1]

[![format_png 21][]][format_png 21 1]

当我们的$in\{’old’\}传入”AkkuS|dir”时，dir执行后的返回值会拼接到The current password is incorrect后，传入pass\_error

[![format_png 22][]][format_png 22 1]

接着，在pass\_error中被打印出来

[![format_png 23][]][format_png 23 1]

这里不仅仅将用户旧密码拿来执行，更是通过pass\_error，把返回值直接打印到返回值中，更加落实了被植入后门的猜测

对比官网 SourceForgegithub三个不同地方下载的Webmin代码发现，官网 SourceForge存在代码执行点，而github不存在

1、官网与SourceForge：

[![format_png 24][]][format_png 24 1]

这里存在qx包裹的$in\{‘old’\}

再来看github上下载的同版本Webmin代码

[![format_png 25][]][format_png 25 1]

Pass\_error中竟然没有被qx包裹的$in\{‘old’\}

对比如下：

[![format_png 26][]][format_png 26 1]

也就是说，github上下载的Webmin不存在代码执行漏洞，而官网和SourceForge上却存在

## 被植入后门依据 ##

1、 将用户提交的旧密码通过qx直接执行

[![format_png 27][]][format_png 27 1]

正常业务逻辑中旧密码为字符串，而非可执行代码，这里将密码字符串拿来直接执行，不符合逻辑

2、 将执行结果通过报错打印到返回值中

[![format_png 28][]][format_png 28 1]

如果仅仅是执行代码，攻击者无法判断后台执行是否成功，以及无法得到执行成功后的返回值，例如”dir”、”ifconfig”这类指令，是需要看回显值的。因此，在这里通过pass\_error将执行成功的返回值隐蔽的返回

[![format_png 29][]][format_png 29 1]

3、 官网 SourceForge代码中存在漏洞，github代码中无漏洞

[![format_png 30][]][format_png 30 1]

通过以上三点，初步猜测，Webmin代码被移植入后门

## POC无需管道符 ##

目前业界流传的poc，都是需要使用管道符 “|”的形式：

例如msf给出的poc：”AkkuS|dir ”

[![format_png 31][]][format_png 31 1]

但是经过漏洞深入的分析发现，old中的值最终会被直接执行，因此并不需要管道符

可以构造如下poc

[![format_png 32][]][format_png 32 1]

[![format_png 33][]][format_png 33 1]

有大佬写了一个MSF利用模块，链接：https://www.exploit-db.com/exploits/47230

GitHub上有个Python检测脚本，链接：https://github.com/jas502n/CVE-2019-15107

Webmin官方对Webmin源代码被植入后门的解释说明：http://webmin.com/exploit.html

[format_png]: /images/20210728/89a562a9e89040d699ba27405b657f41.png
[format_png 1]: https://p3.ssl.qhimg.com/t0157b4ec0a08b76343.png
[format_png 2]: /images/20210728/d7c55358d999424e8f620655ac56c525.png
[format_png 2 1]: https://p2.ssl.qhimg.com/t01cf995d80d5109962.png
[format_png 3]: /images/20210728/1949b11e43604458b9a52ea38b300bcf.png
[format_png 3 1]: https://p5.ssl.qhimg.com/t010163cd45dbb309d3.png
[format_png 4]: /images/20210728/1aaf230ae47046df8de7ac6743d0295a.png
[format_png 4 1]: https://p2.ssl.qhimg.com/t011fd9a64ba7bd7bf8.png
[format_png 5]: /images/20210728/29631668c35a410b94370583f81bbcbc.png
[format_png 5 1]: https://p2.ssl.qhimg.com/t01bbee6603bc068773.png
[format_png 6]: /images/20210728/f157488b50134e92be713260d43cac5a.png
[format_png 6 1]: https://p2.ssl.qhimg.com/t01a0f1ad948c2adc5e.png
[format_png 7]: /images/20210728/a3dfcedd273f487fa5716ebfb48dd5a7.png
[format_png 7 1]: https://p5.ssl.qhimg.com/t015a28d127a25de819.png
[format_png 8]: /images/20210728/33f3d2fc7d4f467fae0f70ba975fe179.png
[format_png 8 1]: https://p4.ssl.qhimg.com/t01a745515502a31965.png
[format_png 9]: /images/20210728/4a7db31537894d5a92bd60c5ed175590.png
[format_png 9 1]: https://p3.ssl.qhimg.com/t01499bbd6b65dfbb69.png
[format_png 10]: /images/20210728/705f7846d39744159fb3a2bd0cae5ccd.png
[format_png 10 1]: https://p0.ssl.qhimg.com/t01869542f608227782.png
[format_png 11]: /images/20210728/03cb6a95cb284b9abe942c1548c5a908.png
[format_png 11 1]: https://p4.ssl.qhimg.com/t0158a5c8945f12ec0a.png
[format_png 12]: /images/20210728/ccacf474320a4af4b8572e6e33054e61.png
[format_png 12 1]: https://p3.ssl.qhimg.com/t01100b1ee268617e0d.png
[format_png 13]: /images/20210728/cbdd6631c7104a0aab3e020043061fe6.png
[format_png 13 1]: https://p1.ssl.qhimg.com/t01b951341ca2bbd14e.png
[format_png 14]: /images/20210728/6fb3c6f0be49477cbef1ec9bca19d64a.png
[format_png 14 1]: https://p3.ssl.qhimg.com/t01d2ffddd6a12496fd.png
[format_png 15]: /images/20210728/ffe0255fed6c4b8aa6ee8decac1713e9.png
[format_png 15 1]: https://p2.ssl.qhimg.com/t01bf37dc5584cd79d3.png
[format_png 16]: /images/20210728/387b6fd2e63e4548b54654385cb72cd3.png
[format_png 16 1]: https://p5.ssl.qhimg.com/t0139575fba7bdee868.png
[format_png 17]: /images/20210728/0563e3c2703c4a2b8c8d3e179f00eef5.png
[format_png 17 1]: https://p0.ssl.qhimg.com/t01d2f3e4223a2f51c9.png
[format_png 18]: /images/20210728/46b51b45305e4858a98738d2929a5ad1.png
[format_png 18 1]: https://p3.ssl.qhimg.com/t01b6d9fa51464c9f1d.png
[format_png 19]: /images/20210728/57d1d3a43394401c8dbe47bab48c8b93.png
[format_png 19 1]: https://p3.ssl.qhimg.com/t01182bced9a76098a4.png
[format_png 20]: /images/20210728/89a9806577524c3f879ae533b329d895.png
[format_png 20 1]: https://p0.ssl.qhimg.com/t01c1c3ee90c951e37d.png
[format_png 21]: /images/20210728/41bac562c2874032bfe1aa550f12ae13.png
[format_png 21 1]: https://p4.ssl.qhimg.com/t0111b6f9381ccf7171.png
[format_png 22]: /images/20210728/41388fa5a9614583b2c68e54aa7ad383.png
[format_png 22 1]: https://p3.ssl.qhimg.com/t018cfa14801db19fee.png
[format_png 23]: /images/20210728/41027923121f40caa83545f3ba9cddce.png
[format_png 23 1]: https://p0.ssl.qhimg.com/t01bea3caf5580161d9.png
[format_png 24]: /images/20210728/cf5e046d20d34624b338cebd30ea6e64.png
[format_png 24 1]: https://p1.ssl.qhimg.com/t01e87d94d974c61fe2.png
[format_png 25]: /images/20210728/815649d97d1c46499242bf023d1a150e.png
[format_png 25 1]: https://p5.ssl.qhimg.com/t0194194aedf0864aea.png
[format_png 26]: /images/20210728/58a0b9846f674540a18c18bd9e16dd8d.png
[format_png 26 1]: https://p4.ssl.qhimg.com/t013d60085d8b39c311.png
[format_png 27]: /images/20210728/5e67dd308c51400eaef05a5d3b82722f.png
[format_png 27 1]: https://p5.ssl.qhimg.com/t0107ff05cfe28dcf95.png
[format_png 28]: /images/20210728/a8cc37d296eb483f844cdaea6b438c1a.png
[format_png 28 1]: https://p0.ssl.qhimg.com/t017c5a2b2ea4843163.png
[format_png 29]: /images/20210728/398c7c8714564faab6a6036627eb4f5d.png
[format_png 29 1]: https://p1.ssl.qhimg.com/t011192f923f4c52f96.png
[format_png 30]: /images/20210728/a4bf0910feca4b699afd750f318679d1.png
[format_png 30 1]: https://p2.ssl.qhimg.com/t01a7fffb678fa782a3.png
[format_png 31]: /images/20210728/fbd3ef6bb83b4182b155f82f6631b75e.png
[format_png 31 1]: https://p0.ssl.qhimg.com/t0183506bda7c1830b3.png
[format_png 32]: /images/20210728/403c1067c9554893b809510360cae243.png
[format_png 32 1]: https://p1.ssl.qhimg.com/t01c4bf019acbe3b9a3.png
[format_png 33]: /images/20210728/d6936637c3ce48ebaad298eccef045b0.png
[format_png 33 1]: https://p1.ssl.qhimg.com/t01a227d13499b72d99.png