最近開源社區(qū)好像特別流行 WAF，到處都能看到寶塔云 WAF、雷池 WAF 社區(qū)版、南墻 WAF 的各種宣傳。我也是寶塔面板的四五年的老用戶了，幾個(gè)月前看到寶塔出了獨(dú)立的 WAF 就迅速給我的小站上了一套，結(jié)果沒幾天發(fā)現(xiàn)服務(wù)器被人放了挖礦木馬。這段時(shí)間除了安裝 WAF，服務(wù)器我基本沒動(dòng)過，我反應(yīng)是不是寶塔被黑了，不過我之前用了好幾年的寶塔面板，好像也沒啥問題，抱著試一試的態(tài)度，把寶塔扔進(jìn)了 IDA，果然找到了一個(gè) RCE，可以通過寶塔 WAF 直接拿到 root 權(quán)限，漏洞細(xì)節(jié)如下：步：打開寶塔 WAF 以后，隨便創(chuàng)建一個(gè)防護(hù)網(wǎng)站，這個(gè)很簡(jiǎn)單，不贅述。第二步：進(jìn)入 “網(wǎng)站加速” 功能，打開剛剛創(chuàng)建的網(wǎng)站的加速狀態(tài)，如圖：第三步：點(diǎn)擊 “配置緩存”，如圖：第四步：點(diǎn)擊 “清除所有緩存”，如圖：漏洞就出在這個(gè)地方，注意了，在剛剛點(diǎn)擊 “清除所有緩存” 時(shí)，看到瀏覽器發(fā)了兩個(gè)包出去，如圖：個(gè)包請(qǐng)求了一個(gè)叫 “clear_cache” 的 API，其中包含了一個(gè)叫 “site_id” 的參數(shù)，如圖：這個(gè)參數(shù)沒做校驗(yàn)直接帶入了系統(tǒng)命令之中，參考 IDA：第五步，嘗試修改 “site_id” 參數(shù)進(jìn)行命令注入，加一個(gè)分號(hào)以后就可以隨便寫 bash 命令了，這里我寫了一個(gè) “touch /tmp/hack”請(qǐng)求提交以后看看服務(wù)器，/tmp/hack 文件果然被創(chuàng)建成功，如圖：至此漏洞利用完成，“touch /tmp/hack” 僅作為演示，實(shí)際可以通過寶塔 WAF 拿到 root 權(quán)限，進(jìn)而控制整個(gè)服務(wù)器。