NacosRce到docker逃逸实战

admin 2024年8月9日16:41:48评论15 views字数 873阅读2分54秒阅读模式
 

1、Nacos Derby Rce打入内存马

这个漏洞的原理大家应该都知道, 2.3.2 <= Nacos <= 2.4.0版本默认derby接口未授权访问,攻击者可利用未授权访问执行SQL语句加载构造恶意的JAR包导致出现远程代码执行漏洞。

在日常的漏洞挖掘过程中也是碰到了nacos,那就直接上链接 https://github.com/Wileysec/nacos_derby_rce ,这个工具也是很不错,可以打入冰蝎和蚁剑的内存马。如下图

NacosRce到docker逃逸实战

第一步其实已经完成了,也是很简单。在连接马的时候,也是折腾了半天,请教了一位朋友,连的时候不仅需要加该工具给出的请求头,还需要加ua头。

NacosRce到docker逃逸实战

2、Docker逃逸

当我在连上去迫不及待的想看看有哪些网段的时候,发现ifconfig命令不存在,于是看看hostname,发现一串数字,就觉得是不是在docker中。

NacosRce到docker逃逸实战

执行

cat /proc/1/cgroup

看到有很多docker的字眼,可以基本判断是在docker环境中,这里还好,是root权限,就不用考虑提权问题了。

接下来也是很幸运,一路舒畅,使用特权模式进行逃逸,具体看看怎么操作。

cat /proc/self/status | grep CapEff

执行命令看看是不是在特权模式中,容器以特权模式启动的话,CapEff对应的掩码是0000003fffffffff或者是0000001fffffffff,很明显在特权模式中,接下来就考虑使用特权模式逃逸。

执行fdisk -l,查看磁盘目录。

NacosRce到docker逃逸实战

执行mkdir /test && mount /dev/vda1 /test,创建目录,并将分区挂载到目录中。

NacosRce到docker逃逸实战

可以看到,已经逃逸成功,两个目录是不一样的

NacosRce到docker逃逸实战

为了方便接下来的渗透,写入公钥登陆该主机。

本地生成密钥ssh-keygen -t rsa。

NacosRce到docker逃逸实战

将公钥写入到宿主机root/.ssh/authorized_keys(这里一定要注意,不要写入到docker的目录下,不然ssh无法连接)

NacosRce到docker逃逸实战

写入后使用私钥连接

NacosRce到docker逃逸实战

可以看到,也是成功登陆了该主机。

 

原文始发于微信公众号(白帽子社区团队):NacosRce到docker逃逸实战

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月9日16:41:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NacosRce到docker逃逸实战https://cn-sec.com/archives/3048538.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息