起因
在某网站下载素材,下载的时候看了下URL,然后发现了惊喜
花里胡哨的就不整了,待我口述一下思路
看到下载链接的URL如下
感觉可能存在任意文件下载漏洞,然后试了一下
可以成功下载,下载下来文件自动加了.zip后缀且无法解压。不慌,直接拿notepad++一类的工具打开即可。
整理一下Linux下常见的敏感文件(需首先判断服务器操作系统版本)
以上的总结都是一些固定位置的配置文件,当然实际中这些路径不一定对,需要你结合.bash_history等信息自己去猜测。
针对Linux系统任意文件下载的几种思路:
- 下载源代码审计
- 数据库备份
- 信息收集
- 中间件
- ...
信息收集
首先是下载.bash_history文件分析了一下,得到以下信息
随后下载了某数据库自动备份脚本(xxx.sh)得到数据库的连接地址以及账号密码。
下载redis.conf配置文件得到redis密码。
问题
遇到的几个问题:
- 数据库是某云的,是内网ip,所以无法用外网连接。
- 针对java的站如果下载源代码审计会很麻烦
- web.xml文件找不到
- 找不到数据库备份文件(即使找到也不敢下载)
- ...
推荐个工具(基于java任意文件读取设计自动化信息搜集工具):
https://github.com/Artemis1029/Java_xmlhack/
转折点
一开始用nmap没扫到redis的端口,后来全端口扫描,发现redis端口对外开放了。
所以这样就简单多了,可以利用redis反弹shell
先在服务器用nc监听端口
然后连接redis
写入计划任务反弹shell
等待一分钟即可拿到shell
总结
运气很重要
前期的信息收集也很重要
Redis真是一个神奇的东西
PS:该漏洞已经第一时间通知厂商并已经进行了修复。
声明:本文的初衷就是分享网络安全知识,若有读者因此做出任何危害网络安全的行为,请后果自负。
- Author:Linuz
- URL:https://linuz.me/article/Arbitrary-file-download-vulnerability-causes-getshell
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
