安全矩阵

 找回密码
 立即注册
搜索
查看: 7684|回复: 0

渗透某大学从弱口令到 docker 逃逸

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-12-24 08:21:21 | 显示全部楼层 |阅读模式
原文链接:渗透某大学从弱口令到 docker 逃逸

前两天一直在敲代码写工具,主要目的是想方便自己在渗透测试中前期的信息收集。在测试脚本进行批量扫描的时候, 看见一个熟悉的 edu 域名,欸?这不是之前交过 edusrc 平台的某个站点吗, 又给我扫到啥敏感信息了?

0x01 前期信息收集打开网站瞎转悠一波,不出意外的话是个静态站点

往下翻这几个点击全部跳转到了一个登陆口,前端大概就这样:


Web 整体架构


操作系统: UbuntuWeb 服务器: Nginx1。18。0 + Java端口开放信息: 80 443先进行一波目录扫描

0x02 挨个测试可以看到,扫描到了一个 "jira" 目录,看这眼熟的目录盲猜是 Jupyter NoteBook 组件

访问果不其然, Jupyter NoteBook 组件的登陆点

然后我们挨个其他 3 个有效目录, 都是登录口
/gitlab

/owncloud

/confluence

我晕~要让我爆破吗? 这三个登陆点先放着
由于是 Jupyter Notebook 组件, 印象中应该是有相关漏洞的。当机立断去 Google 一波历史漏洞,有 2 处信息泄露+未授权访问 RCE。
信息泄露
利用信息泄露可以用来爆破用户, Exp1:
/jira/secure/ViewUserHover。jspa?username=admin
Exp2:
/jira/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=true
​存在用户的话是会返回用户信息的,然后爆破~

欸我这一看, 爆破出一个 "Kevin" 用户, 掏出我们陈年密码本再继续爆破一波密码:

上个厕所回来一看,啥都没出来。爆破这事儿就此告一段落

未授权访问
看了网上几篇相关此组件未授权访问漏洞,都是直接访问能够在控制台运行 "Terminal" 直接执行命令。但是这边我拿到的域名访问是大学的某系统, 猜测修复了未授权漏洞,加了验证。
0x03 突破点想起之前官网主页跳转的登陆口,貌似好像就是修复了未授权漏洞加的验证点,需要输入密码登陆。

来到之前登陆口,随手输入一个 "123456",点击登陆

竟然。。。给我进来了(这开发真的是,这里弄个平民口令)
那么进来了就好办了,按照历史漏洞
New->Terminal
打开了一个终端, 直接可以执行命令

习惯性的去根目录,看看有啥文件

看到 。dockerenv 文件,不是吧不是吧,在裸奔的我有点慌,难道踩罐了?

为了验证我的想法,查询系统进程的 cgroup 信息

是 Docker 没错了,猜想为蜜罐的可能性不大,部署了某大学的一个办公系统。

0x04 Docker 逃逸由于在 Docker 容器中,想到 "Docker 逃逸" 这个漏洞,也不知道能不能逃逸出来,于是想尝试一下。
之前从没实战碰到过 Docker,也没有复现过 Docker 逃逸这个洞,查阅了大量文章。这个点就折腾的比较久。参考文章:
https://www。freebuf。com/articles/web/258398。html
CVE-2019-5376 这个漏洞是需要重新进入 Docker 才能触反弹 shell。而我们上面正好是可以直接进入 Docker 终端,是尝试利用,Poc:
https://github。com/Frichetten/CVE-2019-5736-PoC
修改 main。go 文件,此处更改为弹 shell 命令

完了之后发现自己没有 Go 语言环境

听说 Mac 自带 Go 语言环境,认识个表哥正好用的 Mac,于是找他帮忙编译

原来这就是"尊贵的 Mac 用户"~~
自己又倒腾了一套 Go 语言环境。然后编译我们的 Poc
到 go 文件同目录下,使用命令:
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main。go
(注: GOOS 参数为生成的可执行文件运行环境,由于我们标靶站点是 Linux,故此处使用 Linux)
到之前弱口令进入的 Jupyter NoteBook 控制台上传 Exp 到默认目录

我们这边 VPS 监听 1314 端口

靶机运行我们的 Exp

然后我们回到 Jupyter 控制台,重新进入终端界面

VPS 等待一会儿没弹回来 shell,后面才发现是我自己 VPS 端口策略问题,换个连通的端口,重复步骤,Exp 生效,成功弹回来主机 shell

0x05 结语貌似是部署在阿里云的服务器,未授权原因就不再继续深入了。其实一开始的想法是弄个 Webshell 的,但是对这种架构不熟悉,知识欠缺。没找到 Web 目录~~(果然还是我太菜了哈哈)
(相关漏洞已提交至 edusrc)


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 19:00 , Processed in 0.012865 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表