偶然的一次漏洞挖掘从弱口令到Docker逃逸漏洞

最新推荐文章于 2024-06-05 14:40:30 发布
最新推荐文章于 2024-06-05 14:40:30 发布
阅读量216 收藏
点赞数
文章标签: 网络安全 web安全 数据挖掘 系统安全 经验分享
原文链接:https://www.freebuf.com/articles/web/258704.html
版权

网络安全,web,Kali,渗透测试相关课件,工具,资料

可以关注公众号:“掌控安全课堂

回复:“我想学黑客”即可免费获得

前言

前两天一直在敲代码写工具,主要目的是想方便自己在渗透测试中前期的信息收集。在测试脚本进行批量扫描的时候,看见一个熟悉的edu域名,欸?这不是之前交过edusrc平台的某个站点吗。又给我扫到啥敏感信息了?

前期信息收集

打开网站瞎转悠一波,不出意外的话是个静态站点。

往下翻这几个点击全部跳转到了一个登陆口

前端大概就这样.

Web整体架构:

操作系统: Ubuntu
Web服务器: Nginx1.18.0 + Java
端口开放信息: 80 443

先进行一波目录扫描

挨个测试

可以看到,扫描到了一个"jira"目录,看这眼熟的目录盲猜是Jupyter NoteBook 组件。

访问果不其然,Jupyter NoteBook组件的登陆点

然后我们挨个其他3个有效目录,都是登陆点

  • /gitlab

  • /owncloud

  • /confluence

我晕~要让我爆破吗。这三个登陆点先放着。由于是Jupyter Notebook组件,印象中应该是有相关漏洞的。当机立断去Google一波历史漏洞

2处信息泄露+未授权访问RCE

信息泄露

利用信息泄露可以用来爆破用户

Exp1:

/jira/secure/ViewUserHover.jspa?username=admin

Exp2:

/jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true

存在用户的话是会返回用户信息的,然后爆破~

欸我这一看,爆破出一个"Kevin"用户。

掏出我们陈年密码本再继续爆破一波密码

上个厕所回来一看,啥都没从来.爆破这事儿就此告一段落。

未授权访问

看了网上几篇相关此组件未授权访问漏洞,都是直接访问能够在控制台运行"Terminal"直接执行命令.但是这边我拿到的域名访问是大学的某系统,猜测修复了未授权漏洞,加了验证。

突破点

想起之前官网主页跳转的登陆口,貌似好像就是修复了未授权漏洞加的验证点,需要输入密码登陆。

来到之前登陆口,随手输入一个"123456",点击登陆

竟然...给我进来了(这开发真的是,这里弄个平民口令)

那么进来了就好办了,按照历史漏洞

New->Terminal

打开了一个终端

直接可以执行命令

习惯性的去根目录,看看有啥文件

看到'.dockerenv'文件,不是吧不是吧,在裸奔的我有点慌,难道踩罐了?

为了验证我的想法,查询系统进程的cgroup信息

是Docker没错了,猜想为蜜罐的可能性不大,部署的是某大学的一个办公系统.

Docker逃逸

由于在Docker容器中,想到"Docker逃逸"这个漏洞,也不知道能不能逃逸出来,于是想尝试一下.

之前从没实战碰到过Docker,也没复现过Docker逃逸这个洞,查阅了大量文章.这个点就折腾的比较久.

参考文章:

docker逃逸漏洞复现(CVE-2019-5736) - FreeBuf网络安全行业门户

CVE-2019-5376这个漏洞是需要重新进入Docker才能触发弹shell.而我们上面正好是可以直接进入Docker终端,于是尝试利用

Poc:

https://github.com/Frichetten/CVE-2019-5736-PoC

修改main.go文件,此处更改为弹shell命令

完了之后发现自己没有Go语言环境

听说Mac自带Go语言环境,认识个表哥正好用的Mac,于是找他帮忙编译

原来这就是"尊贵的Mac用户"~~

自己又倒腾了一套Go语言环境.然后编译我们的Poc

到go文件同目录下,使用命令:

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go

(注: GOOS参数为生成的可执行文件运行环境,由于我们标靶站点是Linux,故此处使用Linux)

到之前弱口令进入的Jupyter NoteBook控制台上传Exp到默认目录

我们这边VPS监听1314端口

靶机运行我们的Exp

然后我们回到Jupyter控制台,重新进入终端界面

VPS等待一会儿没弹回来shell,后面才发现是我自己VPS端口策略问题,换个连通的端口,重复步骤,Exp生效,成功弹回来主机shell

结语

貌似是部署在阿里云的服务器,未授权原因就不再继续深入了.其实一开始的想法是弄个Webshell的,但是对这种架构不熟悉,知识欠缺.没找到Web目录~~(果然还是我太菜了哈哈)

(相关漏洞已提交至edusrc)

本文作者:wh1shy, 转载请注明来自FreeBuf.COM

https://www.freebuf.com/articles/web/258704.html

Askshhbs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
redis的口令漏洞环境
01-26
docker-compose.yml
Web渗透测试之SRC挖掘经验分享
03-30
专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。把所有漏洞作为总结讲解,从理论到实战的分享,所有经验。结合漏洞挖掘的经验以及安全工作相关的经验总结漏洞原理、发现、利用,修复,姿势,防御,等多方面思路。实战方面结合以往挖掘SRC经验,把如何操作的各种方法和经验,以及挖过的漏洞,全部分享。具备web渗透测试工程师的工作水平; 能够挖掘各家SRC应急响应中心漏洞,凭借挖漏洞月收入过万
小白快速入门src挖掘(以edusrc平台为例)
2301_80127209的博客
10-20 396
我们可以在关于页面看到edusrc的收录规则现阶段,教育行业漏洞报告平台接收如下类别单位漏洞:教育部各省、自治区教育厅、直辖市教委、各级教育局学校教育相关软件可以看到不仅是大学的资产、还有小学初中高中的教育局的也可以交到上面、而资产不仅只有网站,也可以从小程序,app方面入手,不过这方面利用难度就要大一些。
口令暴力破解详解(包含工具、字典下载地址)_口令字典下载
最新发布
2401_84215240的博客
06-05 1022
*口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能 对你很了解)猜测到或被破解工具破解的口令均为口令,通常与管理的安全意识和平台的初始化配置等相关,通过系统口令,可被黑客直接获得系统控制权限。****在常见的安全测试中,口令会产生安全的各个领域,包括 Web 应用,安全设备,平台组件,操作系统等;如何获取口令,利用口令成为了此类安全问题的关键!**
记一次edusrc的漏洞挖掘
Cobra的博客
03-01 5378
在fofa上闲逛的时候发现这个系统,其实之前也碰到过这个系统,当时可能觉得没什么漏洞点就没有管,正好闲着没事又碰到了这个系统,然后就拿过来简单的测试了一下! 二、漏洞挖掘 1、信息收集 由于我是在fofa上发现的这个系统,所以也谈不上什么信息收集,我就直接贴了fofa搜索语法 app="校园地图服务系统" 2、漏洞挖掘 (1)主页就是一个简单的地图界面 (2)使用dirsearch浅扫一下目录吧,结果还真扫出点东西 (3)/actuator/env这不是spring...
edusrc某大学证书的一次漏洞挖掘
bytesys的博客
10-10 1885
edusrc某大学证书的一次漏洞挖掘
Docker暴露2375端口,引起安全漏洞
02-26
今天有小伙伴发现docker暴露出2375端口,引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在...
Docker逃逸:从一个进程崩溃讲起.pdf
08-08
本议题会简单的介绍Docker和Apport并分享如何通过一个Apport漏洞来完成Docker逃逸。 From a crash to docker escape •Basics of docker •An apport vulnerability •A way to leverage CVE-2018-6552•Demo
log4j漏洞靶场docker-compose.zip
01-14
首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面...
第86天:SRC挖掘-教育行业平台&规则&批量自动化1
08-03
SRC 挖掘-教育行业平台&规则&批量自动化参考:https://src.sjtu.edu.cn/introduction/1.法律法规:第八条 按照对信息系统
马氏五连鞭EduSrc漏洞挖掘
Azjj
12-07 4057
0x00前言 最近是大事没有,小事不断,被调遣到客户单位做HW蓝方,没啥意思,整天盯着防护设备等待告警,正好一王者大佬最近在挖EduSrc,让帮着搞一搞,在50星荣耀王者的诱惑下,我准备开启我的EduSrc之旅。 0x01 年轻人不讲武德 通过对某个大学的C段扫描,扫到了一个学生管理系统 简单测试了一下,发现抓包验证码不刷新,而且会提示“用户名不存在”,这里就可以进行账号密码的爆破。 很显然,我的百万大字典不配爆破,这网站不讲武德,放弃爆破。 0x02 偷袭 通过目录扫描,扫描到未
教育src漏洞挖掘-2023-白帽必挖出教程
热门推荐
qq1140037586的博客
09-12 1万+
作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码,或者想获取更多积分换取证书,这篇文章就是为了帮助各位师傅们快速上手挖取教育src。
10个挖掘edusrc常用工具、脚本
weixin_46211944的博客
07-29 3926
edusrc漏洞报告平台是一个面向全教育行业的漏洞报告平台。平台旨在汇聚多方力量,帮助提升教育系统各级各类学校、单位的信息系统和网站安全性,为推进教育信息化建设保驾护航。第一种就是口令,很多系统拥有学生或者管理员默认密码或者初始密码,可以通过该方法进入系统进行深度挖掘,毕竟给个登录框也搞不点啥样。第二种就是常见web、中间件、框架等相关漏洞,及Nday。第三种就是逻辑漏洞,逻辑常用不怕你挖不倒。据我所知edu最便捷的挖掘方法有三种。......
教育行业edu漏洞挖掘思路小结
告白的博客
12-05 1万+
0x00 *法律法规的必要科普 *声明:本文章仅仅作为内容交流,不作为任何其他用途,请勿非法利用传播,均与本人无关。 漏洞挖掘要素:合法授权,合法测试授权范围内,按照甲方要求测试内,挖掘点到为止… 话不多说,先上图: 0x01 漏洞挖掘难易的介绍 1.漏洞挖掘现在大致分为三种类型,从易到难分别是: 参考 教育行业edu: https://src.sjtu.edu.cn/ cnvd平台: https://www.cnvd.org.cn/ 补天/漏洞盒子等项目:https://www.butia
记一次挖edusrc漏洞挖掘(sql注入)
Lulzcart的博客
01-22 1921
记一次挖edusrc漏洞挖掘(sql注入)
记一次eduSRC挖掘
Askshhbs的博客
04-22 6926
eduSRC介绍 今天闲来无事,想搞个eduSRC账号玩一玩,研究了一下,发现edu账号有两种获取方法:1、有账号的或者内部人员邀请你,2、提交一个高校的漏洞并通过审核。像我这种diao毛,怎么会有内部人员邀请我呢?,于是开始自己挖掘。 确认目标 我先用百度语法搜索了一下, inurl:edu.cn 搜索出来一大堆,我就一个一个进去点了点,(注:未经允许授权,不要用扫描器),发现有一个edu的信息公开界面的URL有点不对,总感觉眼熟。 开始测试 经过我一系列手工测试后发现,URL中的
应用安全-软件安全-漏洞CVE整理
weixin_30865427的博客
07-01 1438
jira ssrf CVE-2019-8451 url = url + '/plugins/servlet/gadgets/makeRequest?url=' + host + '@www.baidu.com/' ImageMagick RCE CVE-2016-3714 axis2 口令 任意文件读取 Awstats 路径泄露 h...
403 Forbidden nginx/1.18.0
07-29
抱歉,但我无法提供关于nginx/1.18.0的具体帮助。这个错误通常表示服务器拒绝了你的请求。可能是由于权限问题或配置错误导致的。你可以尝试以下解决方法: 1. 检查你的请求是否正确,并确保没有输入错误的URL或参数。 2. 确认你具有访问该资源的权限。如果你是服务提供商的客户,可能需要与他们联系以获取更多帮助。 3. 检查服务器的配置文件,确保没有错误或限制导致拒绝访问。 4. 如果你是网站管理员,可以查看服务器日志以获取更多关于错误的详细信息,并根据需要进行修复。 如果以上方法都无法解决问题,建议向相关技术支持部门或论坛寻求帮助,以便他们可以更详细地了解你的情况并给予正确的建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值