docker也能提权??内网学习第6天 rsync未授权访问覆盖 sudo(cve-2021-3156)漏洞提权 polkit漏洞利用

已于 2024-07-05 10:37:21 修改
阅读量553 收藏 8
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 权限提升 文章标签: 学习 web安全 docker 学习方法 网络安全 权限提升 内网渗透
于 2024-07-05 10:33:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/helloKittywz/article/details/140200425

现在我们来说说liunx提权的操作:前面我们说了环境变量,定时任务来进行提权的操作

rsync未授权访问覆盖

我们先来说说什么是rsync

rsync是数据备份工具,默认是开启的873端口

我们在进行远程连接的时候,如果它没有让我们输入账号和密码的话,我们就可以对计时任务中的任务进行覆盖的操作。

流程:

先创建一个反弹shell的文件,然后在给它赋予执行权限,然后使用rsync把它覆盖计时任务

我们在使用的时候也可以在rsync也可以来下载敏感的文件,来进行相对应的操作。

下面来看看命令:
rsync -av nc rsync:/47.94.236.17:873/src/etc/cron.hourly

这个是把我们创建的后门文件上传到计时任务中去

借助Linux默认计划任务调用/etc/cron.hourly,利用rsync连接覆盖

 我们使用命令 rsync rsync://ip:873/ 这样来进行查看要不要你的账号密码

使用命令查看能不能进行连接的操作,如果可以就说明可能存在这个提权的

rsync rsync://ip:873(默认的端口)/

docker组挂载目录的提权 

前提  本地用户  本地用户属于docker组  

因为只有是在docker组里面我们才可以进行使用docker的权限  要不然就只有root权限

使用命令 groups 组名来查看 如果不是root权限但是你是docker组里面的你也可以运行docker服务

docker run -v /root:/mnt -it alpine

我们是使用docker下载镜像文件,什么镜像文件是不重要的,然后将root目录挂载到mnt容器中

然后我们就可以在mnt目录中看见与root是一样文件了,你在外部看这个目录是空的。在这里面进行相对应的操作。

sudo(cve-2021-3156)漏洞提权:

sudoedit -s / 像下面的这样的话就说明是没有漏洞的

如果不是这样的就说明是存在这个漏洞的。

我们也可以直接看版本来确定有没有漏洞

sudo: 1.8 2 -1.8 31p2
sudo:1.9.0-1.9.5p1

然后我们在进行下一步的漏洞利用的操作:

下面也就是我们前面一样的操作,下载poc然后在进行编译给权限在进行运行文件进行操作。

这点就不说了。

polkit漏洞利用:

polkit是什么,是系统预装工具

polkit 是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯:控制决策集中在统一的框架之中,决定低优先级进程是否有权访问高优先级进程。 

这个是ubantu的dpkg -l policykit-1 centos的是rpm -qa polkit  这样来进行查看

跟上面的漏洞是一样的都是利用漏洞来进行提权的操作

我们在使用的时候要主要编译在进行执行 make是工程化编译工具

然后我在进行提权的操作,看看能不能提权成功,也是一样的下载poc然后到liunx本地进行编译在执行操作。

我在网上找了2个poc都没有成功,看来我的系统是打过补丁的。今天也是到这里。继续向内网冲冲冲!!!

Docker系统包精简及安全性(防范攻击)
liluo0815481的博客
04-27 41
否则,删除的文件在最新层中会消失,但不会从之前的层中删除,这就像在最新的 Git 交中删除一个文件并不会从之前的交中删除它一样。在某些环境中,你可能无法进行这种级别的控制,但如果你直接使用 Docker 或使用 Kubernetes,你可以明确地添加或删除限。首先,这意味着运行的进程拥有的限较少,也就是说,如果该进程在某种程度上被远程攻击,攻击者将更难突破容器的限制。特别是,如果你需要安装编译器,你可以使用。为了避免这些问题,你需要只安装你真正需要的包,并在安装完成后清理不必要的文件。
权限提升——Linux Rsync未授权访问&docker组挂载&SUDO&Polkit
m0_61506558的博客
01-28 825
2021年01月26日,sudo被披露存在一个基于堆的缓冲区溢出漏洞CVE-2021-3156,该漏洞被命名为“Baron Samedit”),可导致本地权限提升当在类Unix的操作系统上执行命令时,非root用户可以使用sudo命令来以root用户身份执行命令。由于sudo错误地在参数中转义了反斜杠导致堆缓冲区溢出,从而允许任何本地用户(无论是否在sudoers文件中)获得root限,无需进行身份验证,且攻击者不需要知道用户密码。
docker容器有个bug-非root用户
m0_67402235的博客
06-02 440
本系列之前的文章中使用root用户安装docker,并在root用户下启动docker守护进程,容器也是在root用户下启动运行的。那么问题就出现了:我们的容器服务进程都是root用户限,使用数据卷的方式想挂载哪个目录就挂载那个目录;想修改挂载目录下的哪个文件,就修改哪个文件。 那么我们本文带大家使用非root用户来启动docker容器,是否就安全了呢? 我们先不说答案,让我们一起来通过实验,来解答我们的疑问。为了安全性,我们考虑一种方案:使用非root用户启动docker容器。为此我们做一个实验,首
docker
Longwaer
01-01 3751
通过靶场实验环境,更加深入了解docker原理及使用方法升个人对linux方法的掌握及运用。
Docker
m0_68636078的博客
09-22 1480
自用
linux~Docker容器
@小张小张的博客
11-06 5492
Docker容器的特点: 1.轻量级 在机器上运行的Docker容器共享该机器的操作系统内核; 他们使用更少的计算和内存。图像由文件系统层构建并共享公用文件。最大限度地减少了磁盘使用量。 2.标准 Docker容器基于开放标准,可在Linux发行版,Microsoft Windows以及任何基础架构(包括虚拟机,裸机)上运行。 3.安全 Docker容器将应用程序彼此隔离并从底层基础架构中分离出来。供了最强大的默认隔离功能,可以将应用程序问题限制在一个容器中,而不是整个机器上。 关于docker
Linux - Docker 容器详解
民工哥的博客
07-03 303
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
Linux权限提升总结
m0_66458291的博客
04-01 1725
本文总结了Linux的一些检测项目和常见的方式,如suid CVE,脏牛漏洞、脏管道、环境变量、定时任务限配置特、MDUTRsyncDockersudo、policykit
权限提升思路总结
m0_63615772的博客
09-30 1320
本文章只将思路不讲具体操作前:已经拿到webshell或者本地用户限进行权限提升拿到system或者管理员限文章是对小迪安全2022的权限提升进行整理。
云服务(ECS)Docker安装vulhub安装详解
2201_76115387的博客
06-01 607
Docker安装vulhub安装详解
docker-rsync
03-14
该项目仍在进行中。 同步 使用RSync客户端轻松设置SSH守护程序。 运行服务器 docker run --detach --name rsync --publish 22:22/tcp hetsh/rsync 停止容器 docker stop rsync 创建持久性存储 STORAGE= " /path/to/storage " mkdir -p " $STORAGE " chown -R 1376:1376 " $STORAGE " 1376是运行服务器的用户的数字ID(请参阅Dockerfile)。 用户必须对存储目录具有RW访问限。 使用其他安装标志启动服务器: docker run --mount type=bind,source=/path/to/storage,target=/rsync-data ... 时间 同步时区将在日志中显示正确的时间。 可以使用以下挂载标志
rsync:一个简单的ssh,crontab rsync服务器客户端Docker映像,可以轻松地在Docker卷中同步数据
02-13
简单的docker rsync 一个简单的ssh,crontab rsync服务器/客户端Docker映像,可以轻松地rsync Docker卷中的数据 示例Docker-compose version: "3.2" services: rsync: image: rsync:dev restart: on-failure environment: - RSYNC_CRONTAB=* * * * * # Time to execute http://crontab.guru - RSYNC_HOST_IP=192.168.0.1 # Host IP - RSYNC_HOST_FOLDER=/home/synced-data/ # Host Folder
irsync:通过命令行二进制或docker容器在间隔上进行rsync。 服务器和物联网构建用于基于拉或推的设备内容管理
02-04
间隔 资料来源: : 命令行实用程序和容器,用于间隔运行 。 rsync,在两个源之间同步(单向)文件, irsync包装并以指定的间隔运行它。 作为基本的命令行实用程序,唯一的要求是 。 作为容器,符合要求的是 。 满足所有要求的docker容器大小仅约5兆。 背景 我在博客上写了一些关于irsync背后动机的背景知识。 演示版 使用的docker-compose命令设置一个快速演示。 该项目包括一个带有简单客户端/服务器设置docker-compose.yaml 。 在此作曲家配置中,将irsync设置为每30秒检查一次服务器(同步完成后。服务器安装./data/source目录,
docker系列】容器有个bug-非root用户
字母哥博客
04-20 2430
使用root用户启动docker安全,那么使用非root用户来启动docker容器,是否就安全了呢?答案是否定的,让我们一起来通过非root用户实验,来验证我们的答案。
docker容器内的恶意
niwoxiangyu的博客
10-17 204
使用docker in docker 运行一个带有docker二进制文件且挂载了/root/.docker/config.json和/var/run/docker.sock的容器就可以对任意项目任意镜像进行pull\push操作。同时/root/.docker/config.json内harbor的密码是明文的用户名+密码转base64得到的。docker容器内的恶意
【甄选靶场】 Vulnhub百个项目渗透——项目三十五:vulnerable_docker_containement-1(文件上传,docker
人间体佐菲的博客
10-08 1037
【甄选靶场】 Vulnhub百个项目渗透——项目三十五:vulnerable_docker_containement-1(文件上传,docker
关于Linux环境下的LXD及Docker
qq_46081990的博客
03-22 2120
Docker是一个开源的容器化平台,它建立在LXC之上,并供了一套更高级别的工具和API,使得容器的构建、分发和运行变得更加简单。LXD主要面向系统级容器,可以运行完整的操作系统镜像,并供类似于虚拟机的环境。上述方案只是对宿主机目录有了操作限,如果此时反弹 shell 得到的限将是容器内的 root 限,而非宿主机的 root 限,显然不是我们想要的。拉取镜像,创建容器,将宿主机的根目录 "/" 挂载到容器中的 "/mnt" 目录,进入 /mnt/root 目录查看便可得到 flag`
docker rsync
administrator10的博客
11-22 877
rsync -rtpog --delete --port 3012 --timeout=900 --inplace /mount_path/ndr_test/ root@10.230.135.105::mount_path/ndr_test --password-file=/etc/rsync.password https://www.cnblogs.com/wangshaowei/p/13228683.html 开启coredump ulimit -c unlimit echo '/tmp/core.%t
如何在Docker环境下复现CMS Made Simple的CVE-2021-26120漏洞,并通过POC测试漏洞存在?
最新发布
10-30
为了复现CMS Made Simple的CVE-2021-26120漏洞,并验证漏洞是否仍然存在,可以利用Vulhub和docker-compose来搭建一个受影响的环境。以下是详细步骤: 参考资源链接:[CMS Made Simple 2.2.9.1前台代码执行漏洞CVE-2021-26120:任意代码执行风险](https://wenku.youkuaiyun.com/doc/5vy7883pfp) 首先,确保你的系统上安装了Dockerdocker-compose。然后,可以通过以下命令来克隆Vulhub仓库并创建CMS Made Simple的环境: ``` git clone *** *** ``` 接下来,使用docker-compose命令来启动受影响的服务: ``` docker-compose up -d ``` 服务启动后,访问`***`,进行CMS Made Simple的安装过程,并完成设置。 安装完成后,利用POC脚本进行漏洞复现。可以从供的链接中下载POC脚本,并根据脚本中的指示修改IP地址和端口,以适配你当前的环境。然后在你的系统上执行POC脚本: ``` python cve-2021-26120.py *** ``` 如果漏洞存在,POC脚本将会触发代码执行。 请注意,在测试完毕后,应立即停止相关容器,以防止潜在的安全风险: ``` docker-compose down ``` 通过以上步骤,你可以有效地复现并测试CMS Made Simple的CVE-2021-26120漏洞。建议在测试环境中操作,以防止影响到生产环境。复现漏洞后,应立即升级到最新版本或应用官方补丁来修复安全问题,确保网站的安全稳定运行。 参考资源链接:[CMS Made Simple 2.2.9.1前台代码执行漏洞CVE-2021-26120:任意代码执行风险](https://wenku.youkuaiyun.com/doc/5vy7883pfp)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值