宝塔WAF 0day漏洞，可直接获取Root权限

爱的主打歌刨洞安全团队 2024-02-17 17:05

最近开源社区好像特别流行 WAF，到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。

我也是宝塔面板的四五年的老用户了，几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了一套，结果没几天发现服务器被人放了挖矿木马。

这段时间除了安装 WAF，服务器我基本没动过，我第一反应是不是宝塔被黑了，不过我之前用了好几年的宝塔面板，好像也没啥问题，抱着试一试的态度，把宝塔扔进了 IDA，果然找到了一个 RCE，可以通过宝塔 WAF 直接拿到 root 权限，漏洞细节如下：

第一步：打开宝塔 WAF 以后，随便创建一个防护网站，这个很简单，不赘述。

第二步：进入 “网站加速” 功能，打开刚刚创建的网站的加速状态，如图：

第三步：点击 “配置缓存”，如图：

第四步：点击 “清除所有缓存”，如图：

漏洞就出在这个地方，注意了，在刚刚点击 “清除所有缓存” 时，看到浏览器发了两个包出去，如图：

第一个包请求了一个叫 “clear_cache”
的 API
，其中包含了一个叫 “site_id”
的参数，如图：

这个参数没做校验直接带入了系统命令之中，参考 IDA
：

第五步，尝试修改 “site_id”
参数进行命令注入，加一个分号以后就可以随便写 bash
命令了，这里我写了一个 “touch /tmp/hack”

请求提交以后看看服务器，/tmp/hack
文件果然被创建成功，如图：

至此漏洞利用完成，touch /tmp/hack
仅作为演示，实际可以通过宝塔 WAF
拿到 root
权限，进而控制整个服务器。

截至发文时间，最新版测试已经修复！

本文作者：爱的主打歌
原文地址：https://www.freebuf.com/vuls/390723.html

关注公众号后台回复 0001
领取域渗透思维导图，0002
领取VMware 17永久激活码，0003
获取SGK地址，0004
获取在线ChatGPT地址，0005
获取 Windows10渗透集成环境
，0006
获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

往期推荐

近期文章