某大学从弱口令->Docker逃逸

  • A+
所属分类:安全文章

某大学从弱口令->Docker逃逸

0x01 前言

前两天一直在学习Python造轮子,方便自己前期信息收集,测试脚本进行批量扫描的时候无意中点开的一个带有edu域名,便有此文

0x02 前期信息收集

Web整体架构:

操作系统: Ubuntu
Web服务器: Nginx+Java
端口开放信息: 80 443

目录扫描结果


某大学从弱口令->Docker逃逸

0x03 挨个测试

可以看到,扫描到了一个"jira目录",猜想是Jupyter NoteBook组件


某大学从弱口令->Docker逃逸


访问果不其然,Jupyter组件的登陆点


某大学从弱口令->Docker逃逸


其他3个有效目录都是登陆点

gitlab

某大学从弱口令->Docker逃逸


owncloud


某大学从弱口令->Docker逃逸


confluence


某大学从弱口令->Docker逃逸


我晕~要让我爆破吗,先放着,由于Jupyter组件,到网上查阅历史漏洞

未授权+2个信息泄露

未授权访问漏洞修复了,需要密码


某大学从弱口令->Docker逃逸


先放着

利用信息泄露爆用户
Exp1:

/jira/secure/ViewUserHover.jspa?username=admin

Exp2:

/jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true

某大学从弱口令->Docker逃逸

存在用户的话是会返回用户信息的,然后爆破~


某大学从弱口令->Docker逃逸


爆破出一个"Kevin"用户
掏出我珍藏几天的字典爆密码去~


某大学从弱口令->Docker逃逸


然后啥也没


某大学从弱口令->Docker逃逸


0x04 突破点

剩下最后一个登陆口了,修复了的未授权访问,怎么不修信息泄露呢


某大学从弱口令->Docker逃逸


随手一个"123456"


某大学从弱口令->Docker逃逸


竟然...给我进来了(人要傻了)
那么就好办了,按照历史漏洞

New->Terminal

直接可以执行命令


某大学从弱口令->Docker逃逸


习惯性的去根目录,看看有啥文件


某大学从弱口令->Docker逃逸


看到 dockerenv 文件,不是吧不是吧,在裸奔的我有点慌,难道踩罐了?<br>


某大学从弱口令->Docker逃逸


查询系统进程的cgroup信息


某大学从弱口令->Docker逃逸


ocker没错了,蜜罐的可能性不大 因为是部署在某知名大学的一个办公系统的

0x05 docker逃逸

之前从没实战碰到过docker,也没复现过docker逃逸这个洞,这个点就折腾了比较久


CVE-2019-5376这个漏洞是需要重新进入docker才能触发.才能弹回来shell的,而我们上面正好是可以直接进入docker终端,于是尝试利用
Poc:
https://github.com/Frichetten/CVE-2019-5736-PoC
修改main.go此处更改为弹shell命令


某大学从弱口令->Docker逃逸


完了之后发现自己没有go语言环境


某大学从弱口令->Docker逃逸

听说Mac自带go语言环境,认识个表哥正好用的Mac,于是找他帮忙编译


某大学从弱口令->Docker逃逸


这就是"尊贵的Mac用户"吗,哈哈哈哈
自己折腾了一套go语言环境也是成功编译了
到之前弱口令进入的Jupyter组件上传exp到目标Web站点


某大学从弱口令->Docker逃逸


我们这边VPS监听1314端口


某大学从弱口令->Docker逃逸


靶机运行我们的Exp


某大学从弱口令->Docker逃逸


然后我们回到Jupyter那个组件,重新进入终端界面


某大学从弱口令->Docker逃逸


然后莫名其妙没弹回来shell,乱晃悠发现是我自己VPS端口问题,换个端口成功弹回来主机shell


某大学从弱口令->Docker逃逸


结语

貌似部署在阿里云上面的,未授权原因就不再继续深入了,交洞收工。


某大学从弱口令->Docker逃逸

某大学从弱口令->Docker逃逸

本文始发于微信公众号(疯猫网络):某大学从弱口令->Docker逃逸

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: