文件读取漏洞实战利用教学文档<\/h1>

1. 漏洞概述<\/h2>
文件读取漏洞是一种常见的安全漏洞，攻击者通过该漏洞可以读取服务器上的敏感文件。本教学文档将详细介绍两种实战场景下的文件读取漏洞利用方法：Nginx配置文件利用和Jumpserver AccessKey利用。<\/p>

2. Nginx配置文件利用<\/h2>

2.1 初始发现<\/h3>

通过SSRF漏洞(CVE-2021-27905)读取\/root\/.bash_history<\/code>文件<\/li>

从历史命令中发现服务器运行了Tomcat和Nginx服务<\/li>
<\/ul>
2.2 关键步骤<\/h3>


读取Nginx配置文件<\/strong>：<\/p>

定位Nginx配置文件路径(通常为\/etc\/nginx\/nginx.conf<\/code>或\/etc\/nginx\/sites-enabled\/*<\/code>)<\/li>
获取URL路由信息，发现管理后台接口<\/li>
<\/ul>
<\/li>

绕过访问控制<\/strong>：<\/p>

发现管理后台通过X-Forwarded-For(XFF)头进行访问控制<\/li>
添加XFF头字段访问管理后台<\/li>
<\/ul>
<\/li>

弱口令攻击<\/strong>：<\/p>

使用常见弱口令组合尝试登录管理后台<\/li>
成功获取管理权限<\/li>
<\/ul>
<\/li>
<\/ol>
3. Jumpserver AccessKey利用<\/h2>
3.1 信息收集<\/h3>


读取历史命令<\/strong>：<\/p>

再次读取\/root\/.bash_history<\/code>文件<\/li>
发现服务器部署了Jumpserver堡垒机<\/li>
<\/ul>
<\/li>

获取SSH密钥<\/strong>：<\/p>

拼接路径读取\/root\/.ssh\/<\/code>目录下的公私钥文件<\/li>
验证authorized_keys<\/code>文件确认密钥有效性<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 Jumpserver深入利用<\/h3>


读取配置文件<\/strong>：<\/p>

定位Jumpserver配置文件路径\/opt\/jumpserver\/config\/config.txt<\/code><\/li>
获取敏感信息：

数据库和Redis密码<\/li>
SECRET_KEY和BOOTSTRAP_TOKEN<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

理解关键参数<\/strong>：<\/p>

SECRET_KEY<\/code>: 用于加密解密的KEY<\/li>
BOOTSTRAP_TOKEN<\/code>: koko\/lion组件向JMS注册使用的token<\/li>
ACCESS_KEY_FILE<\/code>: 默认保存路径为data\/keys\/.access_key<\/code><\/li>
<\/ul>
<\/li>

API接口利用<\/strong>：<\/p>

使用Python脚本构造签名请求：<\/li>
<\/ul>
import<\/span> requests,<\/span> datetime,<\/span> json
<\/span><\/span>from<\/span> httpsig.requests_auth import<\/span> HTTPSignatureAuth
<\/span><\/span>
<\/span><\/span>def<\/span> get_auth<\/span>(KeyID, SecretID):
<\/span><\/span>    signature_headers =<\/span> ['(request-target)'<\/span>, 'accept'<\/span>, 'date'<\/span>]
<\/span><\/span>    auth =<\/span> HTTPSignatureAuth(key_id=<\/span>KeyID, secret=<\/span>SecretID, algorithm=<\/span>'hmac-sha256'<\/span>, headers=<\/span>signature_headers)
<\/span><\/span>    return<\/span> auth
<\/span><\/span>
<\/span><\/span>response =<\/span> requests.<\/span>get(url, auth=<\/span>auth, headers=<\/span>headers)
<\/span><\/span><\/code><\/pre><\/li>

获取主机控制权<\/strong>：<\/p>

通过API获取主机列表：GET \/api\/v1\/assets\/assets\/?offset\=0&limit\=15&display\=1&draw\=1<\/code><\/li>
执行命令反弹shell：<\/li>
<\/ul>
POST \/api\/v1\/ops\/command-executions\/ HTTP\/2
<\/span><\/span><\/span>Host: [target]
<\/span><\/span><\/span>Content-Type: application\/x-www-form-urlencoded
<\/span><\/span><\/span>Authorization: Signature [signature]
<\/span><\/span><\/span>
<\/span><\/span><\/span>hosts=&run_as=&command=[reverse_shell_command]
<\/span><\/span><\/span><\/code><\/pre><\/li>

重置管理员密码<\/strong>：<\/p>

通过Jumpserver命令行工具修改管理员密码<\/li>
清除MFA设置(如存在)：
user.<\/span>mfa_level=<\/span>'0'<\/span>
<\/span><\/span>user.<\/span>otp_secret_key=<\/span>''<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
4. 防御建议<\/h2>


文件读取漏洞防御<\/strong>：<\/p>

严格限制文件读取权限<\/li>
对用户输入进行严格过滤和验证<\/li>
避免将敏感信息存储在可被读取的位置<\/li>
<\/ul>
<\/li>

Jumpserver安全配置<\/strong>：<\/p>

定期更换SECRET_KEY和BOOTSTRAP_TOKEN<\/li>
限制API访问权限<\/li>
启用多因素认证(MFA)<\/li>
<\/ul>
<\/li>

Nginx安全配置<\/strong>：<\/p>

避免使用XFF头作为唯一访问控制机制<\/li>
使用强密码策略<\/li>
限制配置文件访问权限<\/li>
<\/ul>
<\/li>
<\/ol>
5. 总结<\/h2>
文件读取漏洞虽然直接影响有限，但通过读取历史命令、配置文件和密钥等敏感信息，攻击者可以进一步扩大攻击范围，最终获取系统控制权。防御方应重视此类"小漏洞"可能带来的"大风险"，实施纵深防御策略。<\/p>

文件读取漏洞实战利用教学文档<\/h1>

1. 漏洞概述<\/h2> 文件读取漏洞是一种常见的安全漏洞，攻击者通过该漏洞可以读取服务器上的敏感文件。本教学文档将详细介绍两种实战场景下的文件读取漏洞利用方法：Nginx配置文件利用和Jumpserver AccessKey利用。<\/p>

2. Nginx配置文件利用<\/h2>

3. Jumpserver AccessKey利用<\/h2>

1. 漏洞概述<\/h2>
文件读取漏洞是一种常见的安全漏洞，攻击者通过该漏洞可以读取服务器上的敏感文件。本教学文档将详细介绍两种实战场景下的文件读取漏洞利用方法：Nginx配置文件利用和Jumpserver AccessKey利用。<\/p>