The Great Escape

我们的开发人员创建了一个很棒的新网站。你能冲出沙盒吗？

---

端口扫描

循例 nmap

Web信息收集

robots.txt:

/exif-util是文件上传点，但是绕过之后貌似没啥用

在robots.txt当中披露了可能存在.bak.txt，现在我们已知的文件就是exif-util，我们可以尝试查看exif-util.bak.txt是否存在

SSRF

在这个文件当中存在一个域名，调用了8080端口的exif，但我们直接访问8080是没开的，那么说明8080端口开在了内网，并且exif-util的功能是通过调用内网的api实现的

const response = await this.$axios.$get('http://api-dev-backup:8080/exif', {

那么就可以尝试通过这个功能访问http://api-dev-backup:8080/exif，从而形成ssrf

ssrf访问到api，这里暴露了curl，尝试能不能进行命令注入

RCE

使用 | 符号就能rce，但是在根目录发现了.dockerenv，这是在docker里，缺少了许多命令，能进行reverse shell的办法几乎没有，所以只能使用这个webshell

/root下发现个密码

Git历史提交

在/root目录下还有个.git，查看一下历史提交

查看增加了flag的那一次提交

我们获得的是root flag，虽然我也不知道第一个flag在哪

端口敲击

这里还告诉我们：

+Hey guys,
+
+I got tired of losing the ssh key all the time so I setup a way to open up the docker for remote admin.
+
+Just knock on ports 42, 1337, 10420, 6969, and 63000 to open the docker tcp port.

这里我去百度了一下，找到了一种叫做“Port knock”

就像minecraft的红石拉杆密码锁一样，好吧，这就像对暗号

nc一把梭，docker守护进程端口2375就会放行

Docker 逃逸

连接到daemon，查看所有镜像

这里有两个值得注意的 nginx和alpine

nginx应该就是web网站的镜像，因为网站也是nginx，我们刚刚没拿到的flag可能就在那

不过我们还是先拿到最后一个flag，再回来拿这个

将宿主机的根目录挂载到容器的/tmp

我们将能获得真正的root flag

再回去找找第一个flag

好吧，在ubuntu默认的nginx根目录/usr/share/nginx/html下并没有找到，换个image再看看

最终在frontend这个镜像下找到这个网站源码，并且发现一个文件

这里需要通过HEAD请求/api/fl46，这里直接使用burp就能做到