宝塔WAF 0day漏洞,可直接获取Root权限_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

宝塔WAF 0day漏洞,可直接获取Root权限

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


宝塔WAF 0day漏洞,可直接获取Root权限

最近开源社区好像特别流行 WAF,到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。 我也是宝塔面板的四五年的老用户了,几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了一套,结果没几天发现服务器被人放了挖矿木马。 这段时间除了安装 WAF,服务器我基本没动过,我第一反应是不是宝塔被黑了,不过我之前用了好几年的宝塔面板,好像也没啥问题,抱着试一试的态度,把宝塔扔进了 IDA,果然找到了一个 RCE,可以通过宝塔 WAF 直接拿到 root 权限,漏洞细节如下: 第一步:打开宝塔 WAF 以后,随便创建一个防护网站,这个很简单,不赘述。 第二步:进入 "网站加速" 功能,打开刚刚创建的网站的加速状态,如图: 第三步:点击 "配置缓存",如图: 第四步:点击 "清除所有缓存",如图: 漏洞就出在这个地方,注意了,在刚刚点击 "清除所有缓存" 时,看到浏览器发了两个包出去,如图: 第一个包请求了一个叫 "clear_cache" 的 API,其中包含了一个叫 "site_id" 的参数,如图: 这个参数没做校验直接带入了系统命令之中,参考 IDA: 第五步,尝试修改 "site_id" 参数进行命令注入,加一个分号以后就可以随便写 bash 命令了,这里我写了一个 "touch /tmp/hack" 请求提交以后看看服务器,/tmp/hack 文件果然被创建成功,如图: 至此漏洞利用完成,touch /tmp/hack 仅作为演示,实际可以通过宝塔 WAF 拿到 root 权限,进而控制整个服务器。 截至发文时间,最新版测试已经修复! 本文作者:爱的主打歌原文地址:https://www.freebuf.com/vuls/390723.html 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

宝塔WAF 0day漏洞,可直接获取Root权限