本文由團隊大佬miniboom記錄編寫,希望大家能有所收獲~
文章涉密部分,會進行大量打碼,敬請諒解
一、從一個任意檔案下載下傳漏洞說起
客戶内網系統中有一個系統上線前例行安全檢測。
我接到單子之後開始整活~打開系統,首先看看有沒有上傳點,興沖沖找了一圈,失望而歸。不過好歹有一個檔案下載下傳的地方,抓個包看看情況。
看到fileUrl後跟的位址,覺得有比較大的可能存在任意檔案讀取,于是碰一碰運氣。
果其不然,這裡可以讀取到伺服器任意的檔案。
按照道理來說,這時我應該再挖一個低危交差。但是想到前段時間公司大神分享的案例,覺得這個漏洞還有得玩,于是從這個點開始深入。
二、任意讀取的利用
讀取/root/.bash_hostiory,使用者的曆史指令。
這個時候,有兩個方向:
- 根據曆史指令查找網站的絕對路徑,并把源代碼下載下傳下來,然後進行代碼審計,挖RCE漏洞為突破口。
- 發現曆史指令中是否存在敏感資訊。
我找到了一部分代碼的絕對路徑,并下載下傳了下來。
代碼是有了,但是問題也來了,由于有多套源碼,我也不知道哪個是我目前通路的網站,而且我明天之前要交報告,代碼審計方向又花時間,是以就此放棄這個方向。
三、意外的收獲
還有第二種方式,查找指令中的敏感資訊。
翻一波,眼前一亮,ssh賬号和密碼已經到手了。
還有更讓我驚訝的是,這台伺服器竟然還配置了免密遠端登入其他伺服器的權限。直接ssh加上IP即可,不僅是web伺服器,似乎也成了一個運維跳闆機。
ssh秘鑰到手
如果在護網期間,我是紅隊拿到這個漏洞的話,是不是瞬間就得了3台内網伺服器的分數?哈哈哈。
好了,不做夢了,隻是挖挖漏洞不搞其他伺服器,畢竟沒有授權,也到了該交報告的時候了。
四、總結
還是要多聽聽大神的分享,學習如何從中低危慢慢滾雪球的。
重要提醒!
團隊現開了微信交流群,團隊語雀知識庫(不定期知識分享)及知識星球(小範圍精華内容傳播及問答),歡迎加入(微信群通過公衆号按鈕“加入我們”擷取聯系方式)
團隊公開知識庫連結:
https://www.yuque.com/whitecatanquantuandui/xkx7k2