前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

渗透实战|从任意文件下载漏洞到拿下多台内网服务器权限.docx

作者头像
辞令
发布2021-04-16 11:09:44
1.3K0
发布2021-04-16 11:09:44
举报
文章被收录于专栏:WhITECat安全团队

本文由团队大佬miniboom记录编写,希望大家能有所收获~

文章涉密部分,会进行大量打码,敬请谅解

一、从一个任意文件下载漏洞说起

客户内网系统中有一个系统上线前例行安全检测。

我接到单子之后开始整活~打开系统,首先看看有没有上传点,兴冲冲找了一圈,失望而归。不过好歹有一个文件下载的地方,抓个包看看情况。

看到fileUrl后跟的地址,觉得有比较大的可能存在任意文件读取,于是碰一碰运气。

果其不然,这里可以读取到服务器任意的文件。

按照道理来说,这时我应该再挖一个低危交差。但是想到前段时间公司大神分享的案例,觉得这个漏洞还有得玩,于是从这个点开始深入。

二、任意读取的利用

读取/root/.bash_hostiory,用户的历史命令。

这个时候,有两个方向:

  • 根据历史命令查找网站的绝对路径,并把源代码下载下来,然后进行代码审计,挖RCE漏洞为突破口。
  • 发现历史命令中是否存在敏感信息。

我找到了一部分代码的绝对路径,并下载了下来。

代码是有了,但是问题也来了,由于有多套源码,我也不知道哪个是我目前访问的网站,而且我明天之前要交报告,代码审计方向又花时间,所以就此放弃这个方向。

三、意外的收获

还有第二种方式,查找命令中的敏感信息。

翻一波,眼前一亮,ssh账号和密码已经到手了。

还有更让我惊讶的是,这台服务器竟然还配置了免密远程登录其他服务器的权限。直接ssh加上IP即可,不仅是web服务器,似乎也成了一个运维跳板机。

ssh秘钥到手

如果在护网期间,我是红队拿到这个漏洞的话,是不是瞬间就得了3台内网服务器的分数?哈哈哈。

好了,不做梦了,只是挖挖漏洞不搞其他服务器,毕竟没有授权,也到了该交报告的时候了。

四、总结

还是要多听听大神的分享,学习如何从中低危慢慢滚雪球的。

重要提醒!

团队现开了微信交流群,团队语雀知识库(不定期知识分享)及知识星球(小范围精华内容传播及问答),欢迎加入(微信群通过公众号按钮“加入我们”获取联系方式)

团队公开知识库链接:

https://www.yuque.com/whitecatanquantuandui/xkx7k2

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-03-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 WhITECat安全团队 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档