前期准備:
靶機地址:https://www.vulnhub.com/entry/containme-1,729/
kali靶機地址:192.168.11.129
靶機ip:192.168.11.198
一、信息收集
1.使用nmap對目標靶機進行掃描
發現開放了 22、80、2222 和 8022 端口。
2. 80端口
源代碼中也沒有什么發現,掃一下目錄:
檢查 index.php 時發現會列出當前目錄下的文件:
也許 index.php 有 命令注入。wfuzz 掃一下:
二、漏洞利用
發現可以注入:
簡單查看一下系統中的文件:
發現 .ssh 文件查看不了,那就嘗試寫入 shell,首先在本地制作一個 shell 腳本,然后開啟 http 服務:
查找一下哪里上傳的文件能讀取:
發現可以上傳到到 /tmp 目錄下:
查看一下是否上傳成功:
bash 運行 shell.sh ,並開啟監聽:
連接成功。可以升級一下 shell。
三、容器一提權
查看一下系統內的可疑信息:
發現在 /home/mike 下有個 1cryptupx 文件很可疑,運行查看一下:
查看一下二進制數據:
命令行中復制不方便,就看的這里,復制下來,十六進制編碼恢復成 1cryptupx:
根據文件名和 Exeinfope 發現是 upx 打包的:
upx解壓:
報錯了,查了沒找到什么原因,后來用的 win10 上的 UPX Tool
解壓成功了,IDA 打開:
在這個函數中,我們得到一個哈希字符串。這意味着如果我們輸入正確的密碼,該函數將以 root 身份調用“/bin/bash”。將哈希字符串保存下來,爆破一下:
發現文件密碼是 mike,再次運行一下 1cryptupx 文件:
發現還是跳到了 www-data 用戶,應該還有別的類似文件,查一下能執行的文件:
發現有個 crypt 文件。查看一下:
發現和之前發現的 1cryptupx 文件輸出得一樣,那加上之前發現的密碼試一下:
獲得了 root 賬戶,沒找到 flag,一開始以為沒有 flag,后來不經意間查了一下 ip 發現:
原來我在容器中。
四、容器二提權
找找同網段還有沒有別的容器,容器中沒有 nmap,下載一個再掃:
也可以用 bash 命令掃:
for i in {1..254} ;do (ping 172.16.20.$i -c 1 -w 5 >/dev/null && echo "172.16.20.$i" &) ;done
掃一下 172.16.20.6 開放的端口:
發現開放了 22 端口,但是我們不知道密碼,那找找有沒有密鑰:
試試在host1上使用用戶名mike和mike的id_rsa登錄host2:
發現能成功登錄到 host2.檢查一下有哪些服務:
發現運行着數據庫,嘗試登錄下數據庫:
簡單測試一下發現居然進去了,mike:password
查看表內信息發現了 root 的密碼,登錄 root:
找找有沒有 flag:
發現一個 mike.zip 壓縮包,解壓發現有密碼,之前在數據庫中我們發現了 mike 的密碼,成功解壓:
得到了 flag。
注: 在 host2 中發現密碼是 password,是猜對的,有點取巧。如果猜不對需要爆破,需要在 host1 上,使用 ssh -L 來映射 host2:3306 ==> host1:3306。再將 host1:3306 映射到 kali 然后再爆破。