Aria2是什么东西,简单来说是一个支持多协议多来源的命令行下载工具,在有权限的情况下,我们可以使用RPC接口(AB服务器有不同功能,A服务器想用B服务器的功能就可以用RPC来调用)来操作aria2来将文件下载至任意目录,如果我们通过控制文件下载链接,文件储存路径以及文件名,直接向后台服务器远程注入恶意命令,从而造成任意文件写入。因为rpc通信需要使用json或者xml,所以这里还要用到工具yaaw(github上可以直接搜到源码,想丢到自己服务器上直接用但好像不配置的话会网络出错)
思路在本地写一个shell,通过yaaw工具去通信,使得靶机下载本地的shell到/etc/cron.d目录中,然后等crontab自动执行任务时执行命令
漏洞复现docker部署完成后打开ip:6800,发现是一篇空白
抓包重放一下发现404
利用yaaw进行通信,点击进行设置(这里是设置靶机信息)
设置完成后在本地编写一个shell,这里我打开小皮,在本地搞了一个test文件(需要有一个apache服务就可)
添加本地shell,目标目录是靶机的定时目录(这里应该是想让定时目录自动自动执行任务,从而执行我们上传的shell),点击Add就会执行
最后进行测试,本地开启nc
Add执行之后没有什么反应,进入后台查看一下
发现test的确添加成功了,但是的确没有反应,这里应该是环境不完整,crontab命令不存在,这里重新发送一个手动执行
