文章涉密部分,会进行大量打码,敬请谅解
一、从一个任意文件下载漏洞说起
客户内网系统中有一个系统上线前例行安全检测。
我接到单子之后开始整活~ 打开系统,首先看看有没有上传点,兴冲冲找了一圈,失望而归。不过好歹有一个文件下载的地方,抓个包看看情况。
看到fileUrl后跟的地址,觉得有比较大的可能存在任意文件读取,于是碰一碰运气。
果其不然,这里可以读取到服务器任意的文件。
按照道理来说,这时我应该再挖一个低危交差。但是想到前段时间公司大神分享的案例,觉得这个漏洞还有得玩,于是从这个点开始深入。
二、任意读取的利用
读取/root/.bash_hostiory,用户的历史命令。
这个时候,有两个方向:
- 根据历史命令查找网站的绝对路径,并把源代码下载下来,然后进行代码审计,挖RCE漏洞为突破口。
- 发现历史命令中是否存在敏感信息。
我找到了一部分代码的绝对路径,并下载了下来。
代码是有了,但是问题也来了,由于有多套源码,我也不知道哪个是我目前访问的网站,而且我明天之前要交报告,代码审计方向又花时间,所以就此放弃这个方向。
三、意外的收获
还有第二种方式,查找命令中的敏感信息。
翻一波,眼前一亮,ssh账号和密码已经到手了。
还有更让我惊讶的是,这台服务器竟然还配置了免密远程登录其他服务器的权限。直接ssh加上IP即可,不仅是web服务器,似乎也成了一个运维跳板机。
ssh秘钥到手
如果在护网期间,我是红队拿到这个漏洞的话,是不是瞬间就得了3台内网服务器的分数?哈哈哈。
好了,不做梦了,只是挖挖漏洞不搞其他服务器,毕竟没有授权,也到了该交报告的时候了。
四、总结
还是要多听听大神的分享,学习如何从中低危慢慢滚雪球的。