FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

信息收集

端口扫描

nmap的扫描结果如下图所示，只开放了两个端口，没有进一步的扫描详细端口信息访问80端口跳转previous.htb，加入hosts文件，访问域名，看到是一个门户网站

初步查看

看一下有什么功能点，门户左下角泄露了一处邮箱，记下来。[email protected]还有一处登录框，在signin接口，打开看一眼另外JS里发现几个接口，访问全部跳转登陆页面

打点/漏洞利用

尝试工作

• 使用burp中TsojanScan插件漏扫，无发现
• 子域名探测，无发现
• fuzzAPI接口，目录扫描，没什么有价值的信息

到这都没有可利用信息，因为泄露了一个邮箱，剩一个爆破还没打，一般不进行爆破，回头继续信息收集，本想着扩大字典扫描，但是在不存在的uri报错中发现使用的框架-NextAuth，结合登录框，联想到是否有登陆绕过或者其他相关漏洞

聚焦NextAuth

搜索NextAuth近期是否爆出过什么漏洞，果然发现一个cve，登陆认证绕过拿到poc修改header头，成功访问之前不能访问的/docs路径查找有什么功能点，在example中找到一个下载api接下来我的思路是想读一些配置文件，看看是否有可利用信息 chatgpt询问nextjs目录结构和敏感文件，构造一下访问看看拿到一个secret，应该是用于身份鉴别时加密的，可能是加密jwt的，但是已经做了身份绕过，估计没用，先记下来。 package.json，拿到后询问了ai有什么存在漏洞的组件，返回了前面利用的CVE编号，依旧无果根据chatgpt返回的框架结构，查到一些目录结构拿到目录结构后，这里卡了很久，在猜测目录结构，各种拼接，最后根据上面图片，结合ai，在下面url中拿到一个密码登录时因为在passwd中没看到jeremy用户，先使用node用户ssh登陆，密码不对，后面随手试了一下jeremy(上图中泄露加邮箱泄露)，结果ssh登进去了，进来后发现刚才得nextjs项目是docker环境，解释了为什么passwd文件没有jeremy用户

权限提升

SUDO -l

思路是先手动看有什么利用点，找不到的话传linpeas脚本做信息收集。 这里登陆后随手看了sudo -l，发现没有重置env，意味着我们在运行下面指定的terraform语句时可以自定义env直接粘贴给chatgpt，返回可利用结果根据gpt给的结果，利用一下，写一个复制bash的脚本建立一个目录跑一下拿到root

总结

信息收集->NextAuth框架登陆绕过->任意文件读取->源码硬编码口令泄露->ssh登陆->sudo环境变量提权 对我的难点在任意文件读取时，不知道该读哪个文件，最后配合ai完成框架源码读取发现敏感文件

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）