天天看点

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

本文由团队大佬miniboom记录编写,希望大家能有所收获~

文章涉密部分,会进行大量打码,敬请谅解

一、从一个任意文件下载漏洞说起

客户内网系统中有一个系统上线前例行安全检测。

我接到单子之后开始整活~打开系统,首先看看有没有上传点,兴冲冲找了一圈,失望而归。不过好歹有一个文件下载的地方,抓个包看看情况。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

看到fileUrl后跟的地址,觉得有比较大的可能存在任意文件读取,于是碰一碰运气。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

果其不然,这里可以读取到服务器任意的文件。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

按照道理来说,这时我应该再挖一个低危交差。但是想到前段时间公司大神分享的案例,觉得这个漏洞还有得玩,于是从这个点开始深入。

二、任意读取的利用

读取/root/.bash_hostiory,用户的历史命令。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

这个时候,有两个方向:

  • 根据历史命令查找网站的绝对路径,并把源代码下载下来,然后进行代码审计,挖RCE漏洞为突破口。
  • 发现历史命令中是否存在敏感信息。

我找到了一部分代码的绝对路径,并下载了下来。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx
渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

代码是有了,但是问题也来了,由于有多套源码,我也不知道哪个是我目前访问的网站,而且我明天之前要交报告,代码审计方向又花时间,所以就此放弃这个方向。

三、意外的收获

还有第二种方式,查找命令中的敏感信息。

翻一波,眼前一亮,ssh账号和密码已经到手了。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

还有更让我惊讶的是,这台服务器竟然还配置了免密远程登录其他服务器的权限。直接ssh加上IP即可,不仅是web服务器,似乎也成了一个运维跳板机。

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx
渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx
渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

ssh秘钥到手

如果在护网期间,我是红队拿到这个漏洞的话,是不是瞬间就得了3台内网服务器的分数?哈哈哈。

好了,不做梦了,只是挖挖漏洞不搞其他服务器,毕竟没有授权,也到了该交报告的时候了。

四、总结

还是要多听听大神的分享,学习如何从中低危慢慢滚雪球的。

重要提醒!

团队现开了微信交流群,团队语雀知识库(不定期知识分享)及知识星球(小范围精华内容传播及问答),欢迎加入(微信群通过公众号按钮“加入我们”获取联系方式)

团队公开知识库链接:

https://www.yuque.com/whitecatanquantuandui/xkx7k2