快捷搜索:  2100  tagid=19374  创意文化园  test  as  tagid=19377  tagid=19387  tagid=19363

usdt钱包支付(caibao.it):有时的一次渗透从弱口令->docker逃逸

0x01 前言

前两天一直在学习Python造轮子,利便自己前期信息网络,测试剧本举行批量扫描的时刻,无意中点开的一个带有edu域名,便有此文

0x02 前期信息网络

Web整体架构:

操作系统: Ubuntu
Web服务器: Nginx Java
端口开放信息: 80 443

目录扫描效果

0x03 挨个测试

可以看到,扫描到了一个"jira目录",料想是Jupyter NoteBook组件.

接见果不其然,Jupyter组件的上岸点

其他3个有用目录都是上岸点

  • gitlab
  • owncloud
  • confluence

我晕~要让我爆破吗,先放着.由于Jupyter组件,到网上查阅历史破绽

未授权 2个信息泄露

未授权接见破绽修复了,需要密码

先放着

,

ALLBET官网娱乐平台开户ALLbet6.com

欢迎进入ALLBET官网娱乐平台开户:www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

行使信息泄露爆用户
Exp1:

/jira/secure/ViewUserHover.jspa?username=admin

Exp2:

/jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true


存在用户的话是会返回用户信息的,然后爆破~

爆破出一个"Kevin"用户
掏出我珍藏几天的字典爆密码去~

然后啥也没

0x04 突破点

剩下最后一个上岸口了,修复了的未授权接见,怎么不修信息泄露呢

随手一个"123456"

竟然...给我进来了(人要傻了)
那么就好办了,根据历史破绽

New->Terminal

直接可以执行下令

习惯性的去根目录,看看有啥文件

看到'.dockerenv'文件,不是吧不是吧,在裸奔的我有点慌,岂非踩罐了?


查询系统历程的cgroup信息

docker没错了,蜜罐的可能性不大,由于是部署在某着名大学的一个办公系统的.

0x05 docker逃逸

之前从没实战碰到过docker,也没复现过docker逃逸这个洞,这个点就折腾了对照久.
参考文章:
https://www.freebuf.com/articles/web/258398.html
CVE-2019-5376这个破绽是需要重新进入docker才气触发.才气弹回来shell的.而我们上面正好是可以直接进入docker终端,于是实验行使
Poc:
https://github.com/Frichetten/CVE-2019-5736-PoC
修改main.go此处更改为弹shell下令

完了之后发现自己没有go语言环境

听说Mac自带go语言环境,熟悉个表哥正好用的Mac,于是找他协助编译

这就是"尊贵的Mac用户"吗,哈哈哈哈
自己折腾了一套go语言环境也是乐成编译了.
到之前弱口令进入的Jupyter组件上传exp到目的Web站点

我们这边VPS监听1314端口

靶机运行我们的Exp

然后我们回到Jupyter谁人组件,重新进入终端界面

然后莫名其妙没弹回来shell,乱晃悠发现是我自己VPS端口问题,换个端口,乐成弹回来主机shell

结语

貌似部署在阿里云上面的,未授权缘故原由就不再继续深入了,交洞收工!

发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: