渗透实战｜从任意文件下载漏洞到拿下多台内网服务器权限.docx

本文由团队大佬miniboom记录编写，希望大家能有所收获～

文章涉密部分，会进行大量打码，敬请谅解

一、从一个任意文件下载漏洞说起

客户内网系统中有一个系统上线前例行安全检测。

我接到单子之后开始整活~打开系统，首先看看有没有上传点，兴冲冲找了一圈，失望而归。不过好歹有一个文件下载的地方，抓个包看看情况。

看到fileUrl后跟的地址，觉得有比较大的可能存在任意文件读取，于是碰一碰运气。

果其不然，这里可以读取到服务器任意的文件。

按照道理来说，这时我应该再挖一个低危交差。但是想到前段时间公司大神分享的案例，觉得这个漏洞还有得玩，于是从这个点开始深入。

二、任意读取的利用

读取/root/.bash_hostiory，用户的历史命令。

这个时候，有两个方向：

• 根据历史命令查找网站的绝对路径，并把源代码下载下来，然后进行代码审计，挖RCE漏洞为突破口。
• 发现历史命令中是否存在敏感信息。

我找到了一部分代码的绝对路径，并下载了下来。

代码是有了，但是问题也来了，由于有多套源码，我也不知道哪个是我目前访问的网站，而且我明天之前要交报告，代码审计方向又花时间，所以就此放弃这个方向。

三、意外的收获

还有第二种方式，查找命令中的敏感信息。

翻一波，眼前一亮，ssh账号和密码已经到手了。

还有更让我惊讶的是，这台服务器竟然还配置了免密远程登录其他服务器的权限。直接ssh加上IP即可，不仅是web服务器，似乎也成了一个运维跳板机。

ssh秘钥到手

如果在护网期间，我是红队拿到这个漏洞的话，是不是瞬间就得了3台内网服务器的分数？哈哈哈。

好了，不做梦了，只是挖挖漏洞不搞其他服务器，毕竟没有授权，也到了该交报告的时候了。

四、总结

还是要多听听大神的分享，学习如何从中低危慢慢滚雪球的。

重要提醒！

团队现开了微信交流群，团队语雀知识库（不定期知识分享）及知识星球（小范围精华内容传播及问答），欢迎加入（微信群通过公众号按钮“加入我们”获取联系方式）

团队公开知识库链接：

https://www.yuque.com/whitecatanquantuandui/xkx7k2