简介

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作

影响版本

Webmin  <= 1.920 

环境搭建

下载地址

https://sourceforge.net/projects/webadmin/files/webmin/1.920/

在这里，我们下载deb安装包，然后用

dpkg -i webmin_1.920_all.deb进行安装

安装前可能需要一些依赖，我们这里闲安装依赖包

sudo apt-get install libnet-ssleay-perl libauthen-pam-perl libio-pty-perl apt-show-versions libapt-pkg-perl

安装成功之后，以root账户身份登录即可。

https://your-ip:10000/sysinfo.cgi?xnavigation=1

登录之后点击authentication修改密码重置配置

查看配置文件

cat /etc/webmin/miniserv.conf，发现修改了

漏洞复现

访问/password_change.cgi链接，抓包注入命令

可以看到命令执行成功！

修复建议

升级到安全版本

https://www.webmin.com/download.html