从一个任意文件下载的漏洞开始说,在用户的内部网络系统中有一个系统发布之前的常规渗透测试。拿到名单后我开始了整个生活~打开系统,先看看有没有上传点,兴冲冲的找了一个圈,失望而归。但好歹还有一个下载文件的地方,抓包看看情况。看着fileUrl后面的地址,感觉有较大的可能存在任意文件读取,因此便去碰碰运气。
如果不这样的话,它可以读取服务器上的任意文件。按道理说,我此时应该再挖一处低洼处。但想到前段时间公司大神分享的案例,觉得这个漏洞还有待完善,所以就从这一点入手。利用任意读数,读入/root/.bash_hostiory,用户的历史命令。
此时,有两个方向:根据历史指令寻找网站的绝对路径,并下载源代码,然后进行代码审核,以挖RCE漏洞为突破口。查找历史记录命令中的敏感信息。我找到了代码的一部分的绝对路径,然后下载它。
编码已经有了,但问题也来了,因为有很多源码,我也不知道现在访问的网站是哪一个,而且我明天之前还要提交报告,代码审核方向又花了时间,所以就放弃这个方向吧。
在第二种方法中也有意外收获,即在命令中查找敏感信息。翻身一波,眼前一亮,ssh帐号和密码已到。而且,更令我吃惊的是,这个服务器居然还配置了免密远程登录到其他服务器的权限。IP就可以直接ssh加起来,不仅仅是web服务器,看起来也成了运行的跳板。
ssh密钥到手,如果在护网过程中,我是红队得到了这个漏洞,是不是瞬间就得到了3个内网服务器的分数?哈哈!嗯,别做梦了,就是挖漏洞不找别的服务器,毕竟没有授权,也该是交报告的时候了。
或者多听大神们的分享,学会如何从低谷中慢慢地滚雪球。
还没有评论,来说两句吧...