偶然的一次渗透从弱口令->docker逃逸
0x01 前言
前兩天一直在學習Python造輪子,方便自己前期信息收集,測試腳本進行批量掃描的時候,無意中點開的一個帶有edu域名,便有此文。
0x02 前期信息收集
Web整體架構:
操作系統(tǒng):Ubuntu Web服務器: Nginx+Java 端口開放信息: 80 443目錄掃描結果
0x03 挨個測試
可以看到,掃描到了一個"jira目錄",猜想是Jupyter NoteBook組件.
訪問果不其然,Jupyter組建的登陸點
其他3個有效目錄都是登陸點
-
gitlab
-
ownclou
?
-
confluence
我暈~要讓我爆破嗎,先放著.由于Jupyter組件,到網上查閱歷史漏洞
我暈~要讓我爆破嗎,先放著,由于Jupyter組件,到網上查閱歷史漏洞未授權+2個信息泄露
未授權訪問漏洞修復了,需要密碼
利用信息泄露爆用戶
Exp1:
/jira/secure/ViewUserHover.jspa?username=admin
Exp2:
/jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true
存在用戶的話是會返回用戶信息的,然后爆破~
爆破出一個“Kevin”用戶
掏出我珍藏幾天的字典爆密碼去~
然后啥也沒
0x04 突破點
剩下最后一個登陸口了,修復了的未授權訪問,怎么不修信息泄露呢?
?
隨手一個"123456"
竟然...給我進來了(人要傻了)
那么就好辦了,按照歷史漏洞
直接可以執(zhí)行命令
習慣性的去根目錄,看看有啥文件
看到'.dockerenv'文件,不是吧不是吧,在裸奔的我有點慌,難道踩罐了?
查詢系統(tǒng)進程的cgroup信息
docker沒錯了,蜜罐的可能性不大,因為是部署在某知名大學的一個辦公系統(tǒng)的.
0x05 docker逃逸
之前從沒實戰(zhàn)碰到過docker,也沒復現(xiàn)過docker逃逸這個洞,這個點就折騰了比較久.
?
參考文章: https://www.freebuf.com/articles/web/258398.html
CVE-2019-5376這個漏洞是需要重新進入docker才能觸發(fā).才能彈回來shell的.而我們上面正好是可以直接進入docker終端,于是嘗試利用
Poc:
https://github.com/Frichetten/CVE-2019-5736-PoC
修改main.go此處更改為彈shell命令
完了之后發(fā)現(xiàn)自己沒有go語言環(huán)境
聽說Mac自帶go語言環(huán)境,認識個表哥正好用的Mac,于是找他幫忙編譯
這就是"尊貴的Mac用戶"嗎,哈哈哈哈
自己折騰了一套go語言環(huán)境也是成功編譯了.
到之前弱口令進入的Jupyter組件上傳exp到目標Web站點
我們這邊VPS監(jiān)聽1314端口
靶機運行我們的Exp
然后我們回到Jupyter那個組件,重新進入終端界面
然后莫名其妙沒彈回來shell,亂晃悠發(fā)現(xiàn)是我自己VPS端口問題,換個端口,成功彈回來主機shell
結語
貌似部署在阿里云上面的,未授權原因就不再繼續(xù)深入了,交洞收工!
?
總結
以上是生活随笔為你收集整理的偶然的一次渗透从弱口令->docker逃逸的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 实现JavaScript继承
- 下一篇: 记一次PowerShell免杀实战