0%

VulnHub打穿记录之CYBERSPLOIT-2

接触vlunhub后,真是一时玩起一时爽,一直玩一直爽。CYBERSPLOIT是一个比较简单的系列,CYBERSPLOIT系列有两个。现记录CYBERSPLOIT:2版本的。

一、实验环境
版本 IP
漏洞服务器 CYBERSPLOIT:2 192.168.126.130
攻击机 Kali 2020.4 192.168.126.134
二、实施步骤
(一)信息搜集
1
2
──(leyan㉿bogon)-[~]
└─$ nmap -A -sV -p- 192.168.126.1/24

通过nmap进行扫描,发现CYBERSPLOIT:2的IP为192.168.126.130,以及确定该服务器开放22、80端口。

扫描结果

直接访问http://192.168.126.130。

访问结果

同时查看源码,发现第一个hint:ROT47

enter description here

结合站点首页表格人中的D92:=6?5C2和4J36CDA=@:E`使用ROT47进行解码获得ssh账号密码。

D92:=6?5C2解码结果

4J36CDA=@:E解码结果

(二)登录ssh

ssh登录信息

登录ssh后,发现第二个hint:docker。

(三)提权

登录ssh后,发现shailendra用户在docker用户组中,结合第二个hint,确定作者是想让我们进行docker提权,万能Google大法,检索docker提权后,获取提权命令。

1
docker run -v /:/hostOS -i -t chrisfosterelli/rootplease

运行结果

到此,我们就获取了root权限,现在可以修改root密码,干你想干的事情。

结果图

使用修改后的密码登录CYBERSPLOIT:2 。

登录成功截图

三、反思

关于docker提权,如果一个服务器有一个普通的用户,并且这个用户加入了docker组,则这个用户已经是root了。

docker 组内用户执行命令的时候会自动在所有命令前添加 sudo。因为设计或者其他的原因,Docker 给予所有 docker 组的用户相当大的权力(虽然权力只体现在能访问 /var/run/docker.sock 上面)。

默认情况下,Docker 软件包是会默认添加一个 docker 用户组的。Docker 守护进程会允许 root 用户和 docker
组用户访问 Docker。给用户提供 Docker 权限和给用户无需认证便可以随便获取的 root 权限差别不大。

因此:普通用户执行这条命令就可以获得root权限

1
docker run -v /:/hostOS -i -t chrisfosterelli/rootplease