Aria2 任意文件写入漏洞复现

漏洞描述

Aria2 是一款轻量级、多协议、多源下载工具（支持 HTTP/HTTPS、FTP、BitTorrent、Metalink），内置 XML-RPC 和 JSON-RPC 接口。

我们可以使用 RPC 接口来操作 aria2 并将文件下载到任意目录，从而造成任意文件写入漏洞。

漏洞环境及利用

搭建docker环境

因为 rpc 通信需要 json 或者 xml，不方便，所以我们可以使用第三方 UI 来和目标进行通信，比如 Yet Another Aria2 Web Frontend

在这之前，先写好反弹shell并用python搭建web服务

 

打开 yaaw，点击配置按钮，运行 aria2 填写目标域名：http://your-ip:6800/jsonrpc

然后单击“添加+”以添加新的下载任务。在“目录”字段中填写您希望将文件下载到的目录，并在“文件名”字段中填写所需的文件名。例如，我们将通过编写 crond 任务来下载一个反向 shell：

可以看到这里命令已经执行成功