今天我要渗透的这个靶机的名字听起来很“高大尚”-cloudantivirus。它的中文意思翻译过来就是“云杀毒系统”。因为仅仅是作为靶机练习之用,难度不大,主要目的是通过渗透过程的学习加深理解云防护系统的机理,更好的在攻防的过程中掌握攻击或反制的方法和策略。
靶机:192.168.1.111
攻击机:192.168.1.117
先看看官网上对靶机是如何描述的吧。从描述中我们可以大概知道渗透的思路以及方法,少走弯路,少花时间,靶机渗透和APT攻击是存在本质上区别的。
靶机的可用端口是22和8080,如下图所示,22端口目前没有任何信息可以使用,那就从web访问入手:8080。打开网页后,要求输入“邀请码”,想一想sql注入吧。每次练习sql注入时大家都会先用SQL注入的万能密码库试一试。常用的万能密码如下所示:
进入web后,呈现下面这个页面。我们先随便选择一个文件进行扫描,查看运行结果,经过了耐心的等待,系统给了响应。从响应中可以看到服务器端是执行了一次对该文件的病毒扫描。那么,此处是否存在命令执行问题呢?我们重新选择一个文件长度较小的hello,并测试一下是否可以执行任意命令。 可以看到相应信息中携带了物理路径,我们的命令被成功执行。
通过前面的渗透分析,我们发现了靶机存在命令注入漏洞,可以利用这个漏洞向我们的kali建立一个反向链接,如下图所示。
通过反向连接登陆靶机后,查看靶机上的文件。我们可以看到该web站点使用python语言编写,于是我们用pty创建一个功能健全的交互式shell。
审计一下app.py的源码。
在上一级目录里我们又发现有root权限的更新程序update_cloudav及其C语言源码。在源码中,可以看到该更新程序被赋予了SUID,接收用户输入的参数并未作任何处理,我们可以通过管道链接一个正常参数执行我们想要的命令。我们可以像上面的反向连接一样,并利用更新程序的root权限进行root提权。
今天讲的这个靶机官网上定easy级,使用的方法也不复杂,细心审计代码就能拿下它。近几年来,随着网络安全逐渐升温,技术发展地很快,态势感知、云防护等“新技术”层出不穷,这些创新实质上是对现有技术的深度挖掘、加工、重构和包装。我们可以依托它提升效率、节省人力,但不能指望它就能万事大吉。
