新姿势之获取果壳全站代码和多台机器root权限

0x00 简介

果壳自动化build docker image的系统

http://builder.iguokr.com/#/signin

通过之后的分析，发现是通过gitlab hook，当代码变更时，自动触发image build过程，通过将代码和运行环境打包到 docker image里，实现自动化和快速部署

0x01 漏洞原因

docker engine daemon api直接暴露公网

mask 区域
1.http://**.**.**
 

 还有很多其他ip也开放2375端口，请厂商自查

也就是说，docker能做的所有操作，这里都可以做

比如：运行、删除container，拉取image等等

0x02 漏洞证明

查看当前运行的container

docker 命令行（需要安装docker）

mask 区域
*****54.223.50*****
 

或直接访问

mask 区域
1.http://**.**.**/containers/json
 

CLI结果

mask 区域
*****         CREATED             STATUS         *****
 *****       4 days ago          Up 4 days              *****
 *****       4 days ago          Up 4 days              *****
 *****       4 days ago          Up 4 days              *****
 *****         4 days ago          Up 4 days           *****
 *****       4 days ago          Up 4 days              *****
 *****       4 days ago          Up 4 days              *****
 *****         4 days ago          Up 4 days           *****
 *****.s"   4 days ago          Up 4 days        *****
 *****ntrypoint.sh redis"   4 days ago   *****
 

已证明，其他不列出

0x03 脑洞大开

我们现在能做的只是运行docker的一些命令，比如操作container、image，没法直接控制宿主机

那么怎么才能控制宿主机呢？

先分析下：

docker的运行需要root权限的，即我们有一个以root运行的进程

但docker本身执行命令只能在container内部，与宿主机是隔离的，即使是反弹一个shell，控制的也是container，除非有溢出漏洞，然而我并没有～

那么我们来看一下docker本身能够做什么？

脑洞开了下，想到docker 运行 container的时候，可以将本地文件或目录作为volume挂载到container内，并且在container内部，这些文件和目录是可以修改的。

这里一下就想到了redis + ssh漏洞，非常的像

我们看一下服务器是否开放22端口，bingo，有ssh服务器

mask 区域
*****23.50.*****
 *****23.50.*****
 *****54.223.*****
 *****is '*****
 *****.1p1 Ubunt*****
 

那么直接把/root/.ssh目录挂载到container内，比如/tmp/.ssh，然后修改/tmp/.ssh/authorized_keys

文件，把自己的public key写进去，然后就可以了登录

0x04 获取机器root权限

这里具体命令就不给了，只给出证明

ifconfig

mask 区域
*****1-1-228*****
 *****(root) gr*****
 

/home/ubuntu目录下文件

mask 区域
*****8:/home/ub*****
 ***** 18*****
 *****tu  163 Sep 24*****
 *****ubuntu 4.0K *****
 *****untu 4.0K Apr*****
 *****tu 4.0K Sep  7*****
 ***** 77 Apr  8 05:50*****
 *****untu 4.0K Dec*****
 *****tu 4.0K Nov 12*****
 *****ubuntu 4.0K *****
 *****untu 4.0K May*****
 *****ot   4.0K Dec*****
 *****.7K Apr 28 10:20*****
 *****tu 472K Dec 17*****
 *****tu 1.3K Feb  3*****
 *****untu 4.0K Nov*****
 *****root   4.0K *****
 *****tu 4.0K Mar  8*****
 *****22M Mar  2 20:10*****
 *****untu 4.0K Mar*****
 *****tu 1.2K Feb 11*****
 *****  14M Dec 17 03*****
 *****tu 4.0K Feb 23*****
 *****untu 4.0K May*****
 ***** 110M Dec  3 09*****
 *****untu  243 Nov*****
 *****M Jul 31  2015 so*****
 *****untu 4.0K Jan*****
 *****untu  689 Nov*****
 

docker仓库在内网 docker-registry.guokr.com

ping docker-registry.guokr.com
 PING ec2-54-222-135-194.cn-north-1.compute.amazonaws.com.cn (172.31.14.62) 56(84) bytes of data.

0x04 获取全站源代码

对当前docker运行的container进行了查看和分析，发现image build的过程会从

git.iguokr.com

拉取源代码，这里是用了public key验证，找了找，在代码中发现了私钥和公钥

且git.iguokr.com公网开放

有了密钥，看到builder有一个postgresql数据库，可以公网连接，在代码中找到帐号和密码

连接后发现有git repository列表，这里给出部分

里面有果壳，在行，mooc等全站代码，

git clone一份，给出证明

0x05 哎～

在机器上装了个nmap，对所在网段的b段扫了下2375端口，扫到了一些只有内网才能访问的2375端口，并且都有ssh服务，都可以拿到root权限，这里就不贴了，和这个类似。

本来想试试能不能撸到线上，结果发现线上环境在另一个网段，试了试还是放弃了

禁止外网访问～

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-05-21 14:40

厂商回复：

漏洞Rank：15 (WooYun评价)

最新状态：

暂无

1. 2016-05-16 14:43 | 瘦蛟舞 ( 普通白帽子 | Rank:765 漏洞数:78 | 铁甲依然在)

   0

   黑客就是屌

   1# 回复此人

2. 2016-05-16 14:43 | 狗胜 ( 路人 | 还没有发布任何漏洞 | ../../../../../../../../../../../../../....)

   0

   据说国内外都没有的姿势。。我想看看这个b有多牛

   2# 回复此人

3. 2016-05-16 14:46 | sauce ( 普通白帽子 | Rank:285 漏洞数:28 | 面向人民币编程)

   0

   据说国内外都没有的姿势。。

   3# 回复此人

4. 2016-05-16 14:47 | phith0n ( 普通白帽子 | Rank:834 漏洞数:126 | 一个想当文人的黑客~)

   0

   这个姿势才不会告诉你们

   4# 回复此人

5. 2016-05-16 14:57 | 千机 ( 普通白帽子 | Rank:681 漏洞数:104 )

   0

   黑客,绝对是黑客

   5# 回复此人

6. 2016-05-16 16:17 | 孤独雪狼 ( 普通白帽子 | Rank:761 漏洞数:64 | 七夕手机被偷，这坑爹的七夕啊 。。。。)

   1

   gitlab?

   6# 回复此人

7. 2016-05-16 16:18 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:143 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

   0

   前排学习姿势

   7# 回复此人

8. 2016-05-16 16:27 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

   0

   lz的姿势水平挺高的嘛

   8# 回复此人

9. 2016-05-16 17:06 | Hax0rs ( 实习白帽子 | Rank:65 漏洞数:7 | Hax0rs)

   0

   黑客,绝对是黑客

   9# 回复此人

10. 2016-05-16 17:12 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:129 | 不要患得患失，我羡慕你，但是我还是选择做...)

    0

    zabbix？monitor？

    10# 回复此人

11. 2016-05-16 17:20 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:29 | 开发真是日了狗了)

    0

    mark

    11# 回复此人

12. 2016-05-16 17:26 | 黑客,绝对是黑客 ( 实习白帽子 | Rank:86 漏洞数:6 | 黑客,绝对是黑客)

    0

    非gitlab zabbix monitor

    12# 回复此人

13. 2016-05-16 17:34 | scanf ( 核心白帽子 | Rank:1694 漏洞数:204 | 。)

    0

    那是什么求文章

    13# 回复此人

14. 2016-05-16 17:37 | Raven ( 路人 | Rank:8 漏洞数:3 | 转让一张白帽场门票= =)

    0

    黑客,绝对是黑客

    14# 回复此人

15. 2016-05-16 18:20 | 黑客,绝对是黑客 ( 实习白帽子 | Rank:86 漏洞数:6 | 黑客,绝对是黑客)

    0

    @scanf 请关注drops

    15# 回复此人

16. 2016-05-16 18:55 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

    0

    这姿势。。

    16# 回复此人

17. 2016-05-16 19:26 | 放逐 ( 路人 | 还没有发布任何漏洞 | 白帽子放逐Gg？得失乐与悲与Av Qq205655539)

    0

    黑客,绝对是黑客

    17# 回复此人

18. 2016-05-16 19:28 | sco4x0 ( 实习白帽子 | Rank:35 漏洞数:12 )

    0

    太黑客了

    18# 回复此人

19. 2016-05-16 20:46 | Q1NG ( 普通白帽子 | Rank:148 漏洞数:25 | 临 兵 斗 者 皆 阵 列 前 行 !)

    0

    @黑客,绝对是黑客 黑客绝逼是黑客

    19# 回复此人

20. 2016-05-16 20:51 | fun ( 实习白帽子 | Rank:50 漏洞数:3 | 做自己喜欢的事。)

    0

    围观一下

    20# 回复此人

21. 2016-05-16 20:53 | dragon110 ( 路人 | Rank:12 漏洞数:1 | 其实我是龙6)

    0

    @黑客,绝对是黑客 黑客绝逼是黑客

    21# 回复此人

22. 2016-05-16 22:10 | 无名 ( 实习白帽子 | Rank:41 漏洞数:8 | 我是一只小菜鸟呀，伊雅伊尔哟。)

    0

    坐等新姿势

    22# 回复此人

23. 2016-05-16 22:39 | 凌晨G度 ( 路人 | Rank:7 漏洞数:2 | 充实的麦穗都是低着头，倒是那些空壳却昂着...)

    0

    前来围观

    23# 回复此人

24. 2016-05-16 23:01 | 小逗逼 ( 路人 | Rank:5 漏洞数:3 | rt)

    0

    坐等新姿势

    24# 回复此人

25. 2016-05-16 23:11 | STCX ( 路人 | Rank:21 漏洞数:8 | 向大黑阔们致敬)

    0

    不会要火吧，赶紧留个名

    25# 回复此人

26. 2016-05-17 08:21 | 山鹰 ( 普通白帽子 | Rank:110 漏洞数:16 | 拒绝搞基，啊哈)

    0

    黑客，绝对是黑客，要火

    26# 回复此人

27. 2016-05-17 10:34 | 少宇 ( 实习白帽子 | Rank:62 漏洞数:9 | QQ ：1126179674 By : 少宇 http://www.90...)

    0

    这个黑客要火，相信我

    27# 回复此人

28. 2016-05-17 12:55 | X20610 ( 普通白帽子 | Rank:209 漏洞数:16 )

    0

    吓死我了 还以为你发现我零蛋了

    28# 回复此人

29. 2016-05-17 13:47 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:208 | 最近有人冒充该账号行骗，任何自称HackBrai...)

    0

    这种该加精华啊

    29# 回复此人

30. 2016-05-18 12:46 | Hucheat ( 路人 | Rank:12 漏洞数:2 | 什么时候才不是路人T_T)

    0

    漏洞类型：敏感信息泄露

    30# 回复此人

31. 2016-05-18 16:13 | 雷锋 ( 路人 | Rank:12 漏洞数:2 )

    0

    照这么下去，所有厂商还不都被刷下去呀

    31# 回复此人

32. 2016-05-18 16:57 | jackyu ( 路人 | Rank:28 漏洞数:18 | 世界上没有一个系统是绝对安全的，系统最大...)

    0

    我草，什么漏洞怎么严重，获取果壳全站代码和多台机器root权限

    32# 回复此人

33. 2016-05-21 14:59 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

    0

    黑客,绝对是黑客

    33# 回复此人

34. 2016-05-21 15:04 | jackyu ( 路人 | Rank:28 漏洞数:18 | 世界上没有一个系统是绝对安全的，系统最大...)

    0

    我初中毕业，完全看不懂，有没有详细说明。。。

    34# 回复此人

35. 2016-05-21 15:36 | 黑客,绝对是黑客 ( 实习白帽子 | Rank:86 漏洞数:6 | 黑客,绝对是黑客)

    1

    @果壳传媒 某壳：“我知道对于漏洞作者来说，最大的奖励还是漏洞被认可”。嗯没错，然后漏洞就被忽略了～

    35# 回复此人

36. 2016-05-21 15:44 | 乐乐 ( 普通白帽子 | Rank:251 漏洞数:6 | 一名信息安全员)

    0

    厉害

    36# 回复此人

37. 2016-05-21 19:18 | Q1NG ( 普通白帽子 | Rank:148 漏洞数:25 | 临 兵 斗 者 皆 阵 列 前 行 !)

    0

    新姿势公开了 docker

    37# 回复此人

38. 2016-05-22 14:04 | Hucheat ( 路人 | Rank:12 漏洞数:2 | 什么时候才不是路人T_T)

    0

    @黑客,绝对是黑客 23333，阁下不仅是绝对黑客还是绝对相声演员

    38# 回复此人

39. 2016-05-23 07:55 | 老才出家 ( 路人 | 还没有发布任何漏洞 | 老了，该出家了)

    0

    厉害

    39# 回复此人