没有合适的资源?快使用搜索试试~ 我知道了~
Splash SSRF到获取内网服务器ROOT权限 作者:未知.pdf
需积分: 5 0 下载量 106 浏览量
2024-04-08
11:33:14
上传
评论
收藏 207KB PDF 举报
温馨提示
试读
16页
Splash SSRF到获取内网服务器ROOT权限 作者:未知
资源推荐
资源详情
资源评论
Splash SSRF到获取内网服务器ROOT权限
作者:未知
原文链接:http://bobao.360.cn/learning/detail/4113.html
本文由 干货集中营 收集整理:http://www.nmd5.com/test/index.php
1
【技术分享】【技术分享】Splash SSRF到获取内网服务器到获取内网服务器ROOT权限权限
发布时间:2017-07-17 15:50:43
0x 01 简介简介
最近自己写的小工具在扫描的过程,发现了某公司在公网开放了一个使用开源系统的站点,该系统为 Splash,是一个使用 Python3、Twisted 和 QT5写的 javascript rendering service,即提供了HTTP API 的轻量
级浏览器,默认监听在 8050 (http) 和 5023 (telnet) 端口。
Splash 可以根据用户提供的url来渲染页面,并且url没有验证,因此可导致SSRF (带回显)。和一般的 SSRF 不同的是,除了 GET 请求之外,Splash还支持 POST。这次漏洞利用支持 POST 请求,结合内网 Docker
Remote API,获取到了宿主机的root权限,最终导致内网漫游。文章整理了一下利用过程,如果有哪里写的不对或者不准确的地方,欢迎大家指出~
0x 02 环境搭建环境搭建
为了不涉及公司的内网信息,这里在本地搭建环境,模拟整个过程
画了一个简单的图来描述环境
这里使用 Virtualbox 运行 Ubuntu 虚拟机作为 Victim,宿主机作为 Attacker
Attacker IP: 192.168.1.213
Victim:
IP: 192.168.1.120 使用桥接模式
内网IP:172.16.10.74,使用 Host-only 并且在 Adanced 中去掉 Cable Connected
阅读量 103647 |
2
Splash开放在 http://192.168.1.120:8050 ,版本为 v2.2.1,Attacker可访问
Docker remote api在 http://172.16.10.74:2375,版本为 17.06.0-ce,Attacker无法访问
JIRA 运行在 http://172.16.10.74:8080,Attacker无法访问
Victim 机器上需要装 docker,安装步骤可以参考 文档
因为后面测试需要利用 /etc/crontab 反弹,所以需要启动 cron
service cron start
docker默认安装不会开放 tcp 2375 端口,这里需要修改一下配置,让其监听在 172.16.10.74 的 2375 端口
在 /etc/default/docker 文件中添加
DOCKER_OPTS="-H tcp://172.16.10.74:2375
创建目录 docker.service.d (如果没有的话)
mkdir /etc/systemd/system/docker.service.d/
修改 vim /etc/systemd/system/docker.service.d/docker.conf 的内容为
[Service]
ExecStart=
EnvironmentFile=/etc/default/docker
ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS
3
重启 docker
systemctl daemon-reload
service docker restart
查看是否成功监听
root@test:/home/user# netstat -antp | grep LISTEN
tcp 0 0 172.16.10.74:2375 0.0.0.0:* LISTEN 1531/dockerd
root@test:/home/user# curl 172.16.10.74:2375
{"message":"page not found"}
运行 splash
docker pull scrapinghub/splash:2.2.1
sudo docker run --name=splash -d -p 5023:5023 -p 8050:8050 -p 8051:8051 scrapinghub/splash:2.2.1
运行 JIRA
docker pull cptactionhank/atlassian-jira:latest
docker run -d -p 172.16.10.74:8080:8080 --name=jira cptactionhank/atlassian-jira:latest
可以测试一下,宿主机上无法访问以下两个地址的
4
剩余15页未读,继续阅读
资源评论
黑战士安全
- 粉丝: 1759
- 资源: 81
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功