Aria2任意文件写入漏洞
Aria2是具有内置XML-RPC和JSON-RPC接口的轻型,多协议,多源下载工具(支持HTTP / HTTPS,FTP,BitTorrent,Metalink)。
我们可以使用RPC接口操作aria2并将文件下载到任何目录,从而导致任意文件写入漏洞。
参考文章:
6800是aria2的rpc服务的默认端口。启动环境后,访问http://192.168.44.132:6800/
,该服务应返回404页面。
利用
由于rpc通信需要json或xml,因此不方便,因此我们可以使用第三方UI与目标进行通信,例如http://binux.github.io/yaaw/demo/
打开yaaw,单击配置按钮,然后填写运行aria2:的目标域名http://192.168.44.132:6800/jsonrpc
:
然后单击“添加+”以添加新的下载任务。在“目录”(Dir)字段中填写要下载文件的目录,并在“文件名”(File Name)字段中填写所需的文件名。例如,我们将通过编写crond任务来下载反向外壳程序:
shell文件,末尾需要一个换行符:
1 | #!/bin/bash |
此时,arai2会将恶意文件(您指定的URL)下载到/etc/cron.d/目录中,文件名为“ shell”。在debian中,/ etc / cron.d目录中的所有文件都将作为计划任务配置文件(如crontab)读取。编写完成后,我们必须等待一分钟,然后执行反向Shell脚本:
可以看到上传成功了。
如果反向Shell不成功,请注意crontab文件的格式,并且换行符必须为
\n
,并且在文件末尾需要换行符。
反弹shell成功,
注意一点,shell脚本执行报“/bin/bash^M: bad interpreter: No such file or directory”这样的错,是因为在执行shell脚本时提示这样的错误主要是由于shell脚本文件是dos格式,即每一行结尾以\r\n来标识,而unix格式的文件行尾则以\n来标识。
查看脚本文件是dos格式还是unix格式的几种办法。
(1)cat -A filename 从显示结果可以判断,dos格式的文件行尾为^M$,unix格式的文件行尾为$。
(2)od -t x1 filename 如果看到输出内容中存在0d 0a的字符,那么文件是dos格式,如果只有0a,则是unix格式。
(3)vi filename打开文件,执行 : set ff,如果文件为dos格式在显示为fileformat=dos,如果是unxi则显示为fileformat=unix。
解决方法:
(1)使用linux命令dos2unix filename,直接把文件转换为unix格式
(2)使用sed命令sed -i “s/\r//“ filename 或者 sed -i “s/^M//“ filename直接替换结尾符为unix格式
(3)vi filename打开文件,执行 : set ff=unix 设置文件为unix,然后执行:wq,保存成unix格式。