前期准備:
靶機地址:https://www.vulnhub.com/entry/ica-1,748/
kali攻擊機ip:192.168.11.129
靶機地址:192.168.11.177
一、信息收集
1.使用nmap對目標靶機進行掃描
nmap -A -p 1-65535 192.168.11.177
發現開放了22、80、3306、33060端口。
2.收集80頁面信息
Wapplayzer:
上述信息告訴我們使用的是 qdPM 9.2 系統,查看有沒有相關漏洞:
有個數據庫信息泄露。
二、漏洞攻擊
1.獲取數據庫用戶名密碼
查看一下50176.txt怎么利用:
下載 http://192.168.11.177/core/config/databases.yml 文件:
得到用戶名和密碼。 qdpmadmin:UcVQCMQk2STVeS6J
2.登錄數據庫
登錄一下mysql:
查看一下數據庫里的信息,在 staff 數據庫中發現了用戶名和密碼:
把密碼用 base64 解密一下,保存在 pass.txt 文件中:
把用戶名保存在 user.txt 文件中,爆破一下ssh(80端口頁面是郵箱和密碼,不符合):
發現兩組賬號和密碼:
login: travis password: DJceVy98W28Y7wLg
login: dexter password: 7ZwV4qtg42cmUXGX
3.登錄ssh
登陸一下 travis 用戶:
得到第一個flag,查看權限:
發現密碼不對,切換成 dexter 用戶:
在家目錄下發現信息:
It seems to me that there is a weakness while accessing the system.
As far as I know, the contents of executable files are partially viewable.
I need to find out if there is a vulnerability or not.
在我看來,訪問系統時存在弱點。
據我所知,可執行文件的內容是部分可見的。
我需要找出是否存在漏洞。
三、提權
那就先看一下有權限的文件:
發現有個 get_access 文件比較可疑,查看一下:
下載到本地IDA運行一下:
發現會以root權限查看文件,那我們可以通過偽造一個文件名為cat的可執行文件,文件內容為/bin/bash,並將文件路徑設置為環境變量,這樣執行get_access的時候,就會執行我們偽造的cat文件,從而使我們獲得root權限:
- echo '/bin/bash' > /tmp/cat
- chmod +x /tmp/cat
- echo $PATH
- export PATH=/tmp:$PATH
- /opt/get_access
得到root權限,查看flag,此時 cat 用不了,用 more 查看:
