靶机信息

可以通过访问极核官方靶场开启靶机实验：极核靶场 -> 渗透测试靶场 -> Alist – 粗心的配置

相关思考

功能说明

Alist是一款高效、开源的云存储聚合管理工具，支持将本地存储与​​20+主流云存储服务​​（如阿里云盘、OneDrive、百度网盘、Google Drive等）无缝整合，提供统一的文件管理界面。其核心功能包括：

1. ​​多平台聚合​​：通过WebDAV协议兼容各类网盘和本地文件，实现跨平台资源统一访问；
2. ​​智能文件处理​​：支持视频/音频在线播放、文档/PDF预览、IPA安装包直接部署等，并可通过Aria2实现批量下载和离线下载；
3. ​​安全管理​​：提供路径密码保护、保险箱加密技术，确保敏感数据在云端存储时仅以加密形式呈现；
4. ​​高效协作​​：支持生成分享链接、单点登录及自动注册功能，便于团队文件共享。基于Gin框架与React技术栈开发，Alist兼具高性能与简洁易用的交互体验，适合个人至企业级用户实现混合存储管理。

安全思考

Alist除了可以挂载网盘，还可以挂载本地的目录，而且根目录 / 也是可以挂载的。如果获得高权限的Alist用户，可以通过挂载 根目录 / 来获取系统内的敏感信息。

试想一下，如果一台Linux服务器内，同时包含了门户网站 和 Alist程序，如果门户网站打不下来，但是想办法获取到了Alist的高权限用户，那么就可以通过挂载 根目录 / 来进行木马上传、脱裤等操作。

靶机实战

首先访问首页，发现这是一个挂载了Linux家目录的分享目录，里面包含了 .bash_history 文件，它记录了用户在 Bash 终端中输入的命令历史。

下载该文件进行查看，该文件记录了命令：./alist admin set 123456 ，该命令为Alist重置admin用户密码的命令，可以发现该命令将admin用户的密码修改为123456

使用登录凭据： admin / 123456 登录到后台

在后台，TAB栏切换到存储模块，查看可以发现挂载了本地存储目录 /root，这样做的意思是：将Linux服务器的 /root 目录挂载到Alist目录的 /

将根文件夹路径设置为 / ，然后进行保存，这样的做的意思是：将Linux的根目录 / 挂载到Alist的首页。

返回首页，发现Linux的根目录已经挂载到首页了，查看Flag文件即可拿到Flag。

并且Linux其他文件也是可以查看的，比如：/etc/passwd & /etc/shadow

总结

Alist的程序本身设计的还是很漂亮的，只要凭据不被泄露还是非常安全的。

但是一旦凭据泄露，那么权限就有些大了，试想一下，如果一台Linux服务器内，同时包含了门户网站 和 Alist程序，如果门户网站打不下来，但是想办法获取到了Alist的高权限用户，那么就可以通过挂载 根目录 / 来进行木马上传、脱裤等操作。