0x1 环境介绍
第一次打 vulnhub 环境下载,看到了困难度为 Easy 就下载了 ,涉及到的知识点:端口扫描、web攻击、SQL注入、命令执行、枚举爆破、代码分析。
跑起来之后网络配置-桥接模式(DHCP服务环境默认开启的会自动分配IP地址)
靶机环境配置完成。
然后在攻击机Windows 7(个人PC)进行主机发现,并进行端口扫描。
当前网络环境介绍:
攻击机物理机:
macbook IP address:192.168.0.9
攻击机虚拟机(桥接模式):
windows 7 IP address:192.168.0.123
漏洞机虚拟机(桥接模式):
Linux IP address:192.168.0.89
开启的端口:22(ssh),8080(web service)
0x2 攻击路线
浏览器打开 192.168.0.89:8080 链接。
burpsuite 直接爆破一把梭。
Tips: 修改 burpsuite 代理监听器为 127.0.0.1:8081 并将浏览器代理修改为 127.0.0.1:8081 不然端口冲突。
输入邀请码 “password”,跳转如下界面,功能是扫描文件并输出文件得一些信息以此来判断是否为病毒文件。
发现可以直接拼接命令导致命令执行。
查看了正在运行哪些进程服务。
执行 ls | cat /home/scanner/cloudav_app/app.py 查看代码,发现邀请码登陆点存在SQL注入,filename 参数直接拼接导致命令执行。
收集了下当前靶机虚拟机的环境:
1. 查看当前权限
回显:
2. 查看计划任务
回显:
3. 查看当前用户权限
回显:
4. 查看当前系统用户
回显:
5. 查看机器端口
回显:
6. 查看系统环境变量
回显:
7. 查看当前所在路径
回显:
0x3 获取交互 SHELL
太繁琐了,干脆直接弹了个shell,执行如下操作来获取一个交互的shell。
Macbook 攻击机进行端口监听:
Linux 靶机执行:
查看 update_cloudav 源代码
返回
发现在 /home/scanner下存在一个update_clouav 可执行文件 并且运行权限为 root 。
查看 update_clouav.c 源代码发现,有一些组id和用户id设置为0,以root权限执行命令。
首先,在 sh 文件中创建了另一个python反向shell,并将其命名为x.sh
执行如下命令落地反弹shell文件到 linux 靶机,并给予执行的权限。
获取 root 权限,删除靶机。(没内存了…)