文章涉密部分,會進行大量打碼,敬請諒解
一、從一個任意文件下載漏洞說起
客戶內網系統中有一個系統上線前例行安全檢測。
我接到單子之後開始整活~ 打開系統,首先看看有沒有上傳點,興沖沖找了一圈,失望而歸。不過好歹有一個文件下載的地方,抓個包看看情況。
看到fileUrl後跟的地址,覺得有比較大的可能存在任意文件讀取,於是碰一碰運氣。
果其不然,這裏可以讀取到服務器任意的文件。
按照道理來說,這時我應該再挖一個低危交差。但是想到前段時間公司大神分享的案例,覺得這個漏洞還有得玩,於是從這個點開始深入。
二、任意讀取的利用
讀取/root/.bash_hostiory,用戶的歷史命令。
這個時候,有兩個方向:
- 根據歷史命令查找網站的絕對路徑,並把源代碼下載下來,然後進行代碼審計,挖RCE漏洞爲突破口。
- 發現歷史命令中是否存在敏感信息。
我找到了一部分代碼的絕對路徑,並下載了下來。
代碼是有了,但是問題也來了,由於有多套源碼,我也不知道哪個是我目前訪問的網站,而且我明天之前要交報告,代碼審計方向又花時間,所以就此放棄這個方向。
三、意外的收穫
還有第二種方式,查找命令中的敏感信息。
翻一波,眼前一亮,ssh賬號和密碼已經到手了。
還有更讓我驚訝的是,這臺服務器竟然還配置了免密遠程登錄其他服務器的權限。直接ssh加上IP即可,不僅是web服務器,似乎也成了一個運維跳板機。
ssh祕鑰到手
如果在護網期間,我是紅隊拿到這個漏洞的話,是不是瞬間就得了3臺內網服務器的分數?哈哈哈。
好了,不做夢了,只是挖挖漏洞不搞其他服務器,畢竟沒有授權,也到了該交報告的時候了。
四、總結
還是要多聽聽大神的分享,學習如何從中低危慢慢滾雪球的。