某大学从弱口令->Docker逃逸

zhaorong · 发表于 WEB前端技术 2021-1-12 11:28:44


	本帖最后由 zhaorong 于 2021-1-12 11:45 编辑 0x01 前言前两天一直在学习Python造轮子方便自己前期信息收集测试脚本进行批量扫描的时候无意中点开的一个带有edu域名便有此文 0x02 前期信息收集 Web整体架构: 操作系统: Ubuntu Web服务器: Nginx+Java 端口开放信息: 80 443 目录扫描结果 0x03 挨个测试可以看到,扫描到了一个"jira目录",猜想是Jupyter NoteBook组件访问果不其然,Jupyter组件的登陆点其他3个有效目录都是登陆点 gitlab owncloud confluence 我晕~要让我爆破吗先放着由于Jupyter组件到网上查阅历史漏洞未授权+2个信息泄露未授权访问漏洞修复了需要密码先放着利用信息泄露爆用户 Exp1: /jira/secure/ViewUserHover.jspa?username=admin Exp2: /jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true 存在用户的话是会返回用户信息的,然后爆破~ 爆破出一个"Kevin"用户掏出我珍藏几天的字典爆密码去~ 然后啥也没 0x04 突破点剩下最后一个登陆口了修复了的未授权访问,怎么不修信息泄露呢随手一个"123456" 竟然...给我进来了(人要傻了) 那么就好办了,按照历史漏洞 New->Terminal 直接可以执行命令习惯性的去根目录,看看有啥文件看到'.dockerenv'文件不是吧不是吧,在裸奔的我有点慌,难道踩罐了?<br> 查询系统进程的cgroup信息 docker没错了蜜罐的可能性不大,因为是部署在某知名大学的一个办公系统的 0x05 docker逃逸 CVE-2019-5376这个漏洞是需要重新进入docker才能触发才能弹回来shell的.而我们上面正好是可以直接进入docker终端,于是尝试利用 Poc: https://github.com/Frichetten/CVE-2019-5736-PoC 修改main.go此处更改为弹shell命令完了之后发现自己没有go语言环境听说Mac自带go语言环境,认识个表哥正好用的Mac于是找他帮忙编译这就是"尊贵的Mac用户"吗哈哈哈哈自己折腾了一套go语言环境也是成功编译了到之前弱口令进入的Jupyter组件上传exp到目标Web站点我们这边VPS监听1314端口靶机运行我们的Exp 然后我们回到Jupyter那个组件重新进入终端界面然后莫名其妙没弹回来shell,乱晃悠发现是我自己VPS端口问题,换个端口,成功弹回来主机shell 结语貌似部署在阿里云上面的未授权原因就不再继续深入了交洞收工!

微信扫一扫 分享朋友圈

某大学从弱口令->Docker逃逸

微信扫一扫分享朋友圈