任意文件读取rce记录

最新推荐文章于 2024-05-28 22:08:12 发布
最新推荐文章于 2024-05-28 22:08:12 发布
阅读量449 收藏 10
点赞数 4
文章标签: 密码学 网络安全 网络攻击模型 计算机网络 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84434570/article/details/138411930
版权

1.跨目录上传

对某系统进行测试时,发现有一处上传附件的功能,常规上传个文件试试

图片

发现返回包返回了重命名后的文件名称和系统的绝对路径

继续看上传的文件

图片

只有一个预览的功能,访问直接下载该文件,并没有什么用,请求链接为

DownloadServlet?type=W***J&filename=QQ%E5%9B%BE%E7%89%8720230414145425.jpg&pyName=9be6c164-d5a9-4a1e-a555-139ec1ce383d.jpg

回头仔细看上传的数据包,发现上传的参数type的值返回在了系统的绝对路径中,猜测type的值即为上传的文件夹,将type改成1尝试,印证了猜想,且是可以直接上传jsp的!

图片

既然上传文件参数可控,尝试使用../看是否可以跨目录上传,发现也是可以的

图片

至此得到一个上传路径可控的有效上传点,且通过上传返回的绝对路径知道了当前的user名称(这个后面很关键)。

那么接下来的思路就是寻找系统的web路径,直接上传脚本getshell。尝试了一些常用的手法例如构造报错等均未找到目标,尬住了一会儿后,想到了之前的跨目录上传,既然上传处可以使用../进行跨目录,那么上传后的预览处呢?

2.任意文件读取

回到刚才的上传预览处

图片

将预览功能处的请求链接中的filename与pyname进行构造尝试,果不其然,发现一处任意文件读取

DownloadServlet?type=W***J&filename=QQ%E5%9B%BE%E7%89%8720230414145425.jpg&pyName=9be6c164-d5a9-4a1e-a555-139ec1ce383d.jpg

图片

得到任意文件读取后可以通过读取中间件的默认配置文件寻找更多信息,例如

tomcat

/usr/local/tomcat(tomcat-1.1.1(具体版本号))/conf/tomcat-users.xml/usr/local/tomcat(tomcat-1.1.1(具体版本号))/bin/catalina.sh(其中日志的配置路径)

apache

/var/log/apache2/access.log/var/log/apache2/error.log/var/log/httpd/access_log/etc/httpd/logs/access_log/etc/httpd/logs/error_log/etc/httpd/logs/error.log

nginx

/var/log/nginx(nginx-1.1.1(具体版本号))/access.log/var/log/nginx(nginx-1.1.1(具体版本号))/error.log/usr/local/var/log/nginx(nginx-1.1.1(具体版本号))/access.log/usr/local/nginx(nginx-1.1.1(具体版本号))/logs/etc/nginx(nginx-1.1.1(具体版本号))/nginx.conf

通过旁站的其他端口的web指纹,发现使用的是tomcat

图片

直接尝试读取tomcat的默认配置文件,均失败:)

接着尝试读取操作系统的默认路径,linux下常用路径如下

/etc/passwd                     账户信息/etc/shadow                     账户密码文件/etc/my.cnf                     mysql配置文件/root/.ssh/id_rsa               ssh-rsa私钥/etc/redhat-release             系统版本 /root/.bash_history             用户历史命令记录文件/home/user/.bash_history        特定用户的历史命令记录文件/root/.mysql_history            mysql历史命令记录文件/var/lib/mlocate/mlocate.db     全文件路径/proc/net/fib_trie              内网IP/proc/self/environ              环境变量/proc/self/loginuid             当前用户uid

最终通过/home/user/.bash_history中成功找到了tomcat的web路径

图片

3.getshell

万事具备,直接上传至根目录下,访问

图片

根目录下不解析,直接跳转到了登录页面,但是可以看到跳转目录携带了我们访问的jsp。

这种情况下,有账号的话(本系统提供了注册功能),直接登录后访问即可

图片

4.一些拓展

上述的情况都是登录后测试的,如果上传点是fuzz出来的,没有目标系统的账号,也可以采取如下几种方案。

  • 1.尝试直接上传至系统的静态目录,例如系统自动加载的js文件的目录。

  • 2.尝试绕过fillter的鉴权,一般从fillter对目录的白名单或是文件后缀的白名单两个角度绕过入手。

附一些实战的案例。

目录白名单绕过

图片

图片

文件后缀白名单绕过

图片

图片

其他情况绕过

图片

图片

3.寻找其他的web可以直接访问且知道路径的目录

例如本案例中的

图片

图片

直接构造上传

图片

浏览器访问,成功rce

图片

亿林网络数据
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
蓝凌oa任意文件读取RCE
Dalian0的博客
11-03 4432
蓝凌简介:蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce 漏洞路径: 1.任意文件读取: /sys/ui/extend/varkind/custom.jsp 漏洞验证: burp抓包修改数据包 修改为post请求,路径如图 数据包 POST /sys/ui.
通达OA任意文件上传配合文件包含导致的RCE.md
04-12
通达OA任意文件上传配合文件包含导致的RCE
文件包含到RCE方法
12-10 1057
大家在参加众测的行动时,若是发现了以下基础危害不大的漏洞,不建议直接提交的,而是应该想办法看,能不能对该漏洞进行升级,扩大其危害,多拿点奖励。当然,文件包含不算常见,经常出现在php程序中远程文件包含(RFI)通过上传上传任意格式后缀包含shell代码的文件,然后包含该文件即可。通过apache日志中间件的日志是及其容易受到文件包含攻击的,例如:可以通过在GET URL时,在参数中填写,这样,恶意内容就会被包含到web日志中,在通过包含该日志,即可成功的进行代码执行。常见中间件日志位置。
gitlab任意文件读取漏洞(可能RCE
公众号shadow sock7
04-28 3487
参考: https://hackerone.com/reports/827052 受影响版本下载: https://packages.gitlab.com/gitlab/gitlab-ee/packages/ubuntu/xenial/gitlab-ee_12.8.7-ee.0_amd64.deb wget --content-disposition https://packages.gitlab...
无参数读文件RCE总结
蚁景网安学院
07-06 2657
引言代码解析无参数任意文件读取查看当前目录文件读取当前目录文件查看上一级目录文件读取上级目录文件查看和读取多层上级路径的就不写了,一样的方式套娃就行查看和读取根目录文件无参数命令执行...
LightCMS1.3.5-任意文件读取&RCE漏洞
LYJ20010728的博客
06-09 1489
LightCMS1.3.5-任意文件读取&RCE漏洞环境搭建(Kali) 环境搭建(Kali) 个人环境配置:php7.4.15 + mysql8.0.25 首先确保系统已安装好composer,可以参考我之前写的文章:文章链接 下载文件源码 cd /var/www/html git clone https://hub.fastgit.org/eddy8/LightCMS.git cd lightCMS composer install 设置目录权限:storage/和bootst
用友OA/NC/NCCloud SQL注入任意文件上传和读取RCE复现渗透测试记录
kelenwait的博客
06-23 7518
简介 用友公司成立于1988年,全面提供具有自主知识产权的企业管理/ERP软件、服务与解决方案,是中国最大的管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件及小型企业管理软件提供商。 漏洞情况 用友OA_U8 存在SQL 注入 用友NCCloud FS文件管理 SQL 注入 用友NC bsh.servlet.BshServlet 远程命令执行 用友NC 任意文件上传 getShell 漏洞复现 1.用友 OA_U8 SQL 注入 poc /yyoa/common/js/menu/tes
转载:任意下载文件漏洞
qq_43907122的博客
02-28 526
edusrc--某985任意文件下载 00demons00 2023-02-26 20:28:24 文章来自于公众号:WK安全 欢迎大家多多支持 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 打开url:http://xxxxxxx/login 目测是一个RuoYi框架,根据以往的历史漏洞曝光,有以下这些: 1、shiro默认
任意文件下载漏洞的利用思考
C20220511的博客
12-20 1104
需要说明的是,并不是所有的tomcat项目的controller源码都能在WEB-INF/classes/目录下找到,还有部分系统会把逻辑代码写到jar包中并放在WEB-INF/lib/目录下,如图3.8所示,某系统在classes目录下不存在任何class文件,所有的逻辑均在WEB-INF/*.jar包中。在CodeIgniter框架中,如果Cookie中包含了序列化的内容,如图4.3所示,则代表可以通过任意文件读取获取加密key来构造反序列化过程,结合框架本身的反序列化利用链,则可能造成反序列化漏洞。
File Read| file-read| 任意文件读取
薛定谔嘚喵博客
05-05 711
任意文件读取的危害往往大于目录遍历漏洞,任意文件读取不仅会泄露网站的结构目录,一些敏感文件还会被通过构造特殊的字符结构下载下来,比如说…任意文件读取是属于文件操作漏洞的一种,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感文件,正常读取文件没有经过校验或者校验不严格,用户可以控制这个变量或者变量读取任意文件。7、读取web应用日志文件,中间件的日志文件,其他程序的日志,系统日志等(可以网站后台地址、api接口、备份、等等敏感信息)
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意文件删除+RCE+任意文件上传+SQL注入)1
08-03
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意件删除+RCE+任意件上传+SQL注)这选择从数据库名称 $dbname 下, 服务器连接地址, 数据
FastAdmin_Upload:FastAdmin 前台文件上传RCE
04-06
FastAdmin Upload Exploit FastAdmin 前台文件上传RCE Usage: python fastadmin.py url 默认Webshell密码为hhh
密码学基础概念
走马
05-28 528
1.对原有的明文数据,执行某种运算,得到密文数据。2.密文数据对于未授权人员而言,在一定上程度上加大了解读的难度3.加密功能用于实现机密性。
Go语言中实现RSA加解密、签名验证算法
李否否
05-28 120
随着互联网的高速发展,人们对安全的要求也越来越高。密码学中两大经典算法,一个是对称加解密,另一个是非对称加解密,这里就来分享一下非对称加密算法的代表:RSA加解密。在Go语言中实现RSA加解密还是比较简单的,网上很多教程都是基于Go原生标准库写的,代码量较多。。
现代密码学——消息认证和哈希函数
m0_75110976的博客
05-24 826
①MAC函数不必可逆,满足多到一映射②加密秘钥与认证秘钥不同。
哈希算法教程(个人总结版)
最新发布
年糕的博客
05-28 483
哈希算法(Hash Algorithm)是一种将任意长度的输入(也称为消息)转换为固定长度的输出(也称为哈希值、散列值、摘要)的算法。SHA-256(Secure Hash Algorithm 256-bit)是SHA-2(Secure Hash Algorithm 2)家族中的一种,广泛应用于安全性要求较高的场景,如区块链、数字签名等。散列函数用于哈希表(Hash Table)等数据结构中,将数据映射到固定大小的数组上,以实现高效的数据存储和检索。哈希算法可以用于数据库的索引,提高数据检索的效率。
春秋云境 任意文件上传
09-09
春秋云境是一个虚构的概念,可能在上下文中用于描述一个虚拟环境或者某种技术。根据所提供的引用内容,引用提到了一个叫做"WBCE CMS v1.5.2"的软件存在文件上传漏洞,攻击者可以利用这个漏洞进行远程命令执行(RCE)。 这意味着攻击者可以上传任意文件到目标网站的服务器上,并在服务器上执行任意命令。然而,我并不鼓励或支持任何非法活动或攻击行为。如果你对网站安全感兴趣,建议你学习和了解有关网络安全的相关知识,并按法律和道德规范行事。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值