vulnhub靶場之ICA: 1
準備:
攻擊機:虛擬機kali、本機win10。
靶機:ICA: 1,網段地址我這裡設置的橋接,所以與本機電腦在同一網段,下載地址://download.vulnhub.com/ica/ica1.zip.torrent,下載後直接vbox打開即可。
知識點:框架qdpm 9.2漏洞、數據庫的基本使用、hydra的暴力破解、環境變量替換命令。
信息收集:
掃描下端口對應的服務:nmap -T4 -sV -p- -A 192.168.100.197,顯示開放了22、80、3306端口,開放了ssh、apache、mysql服務。dirmap目錄掃描未發現有用的信息。
漏洞利用(qdpm 9.2):
訪問下80端口,發現是一個登錄界面,顯示了所使用的框架信息:qdpm 9.2。
在網站://www.exploit-db.com/搜索下是否存在可利用的exp,發現存在兩個exp,在第二個exp(未經驗證賬戶的密碼暴漏)中發現存在我們可以直接讀取/core/config/databases.yml文件,嘗試讀取下文件信息,獲取到數據庫賬戶名和密碼:qdpmadmin/UcVQCMQk2STVeS6J。
數據庫信息收集和利用:
通過獲取的數據庫賬戶名和密碼:qdpmadmin/UcVQCMQk2STVeS6J登錄數據庫查看,登錄命令:mysql -h192.168.100.197 -uqdpmadmin -pUcVQCMQk2STVeS6J,發現數據庫:qdpm、staff,在數據庫中查找信息,最後在staff數據庫中發現管理人員的賬號信息和密碼信息(base64加密)。賬戶名:Smith、Lucas、Travis、Dexter、Meyer,密碼解密後:suRJAdGwLp8dy3rF、7ZwV4qtg42cmUXGX、X7MQkP3W29fewHdC、DJceVy98W28Y7wLg、cqNnBWCByS2DuJSy。
我們將獲得賬戶名和密碼放入username和passwd文件中使用hydra進行爆破一下,命令:hydra -L username -P passwd ssh://192.168.100.197,成功獲取到兩個有用的賬戶名和密碼:travis/DJceVy98W28Y7wLg、dexter/7ZwV4qtg42cmUXGX。
或者在windows上使用弱口令工具自己加載密碼本也可以破解。
利用獲得賬戶名和密碼使用xshell進行嘗試登錄,在travis賬戶下發現user.txt、在dexter賬戶下發現note.txt,查看文件信息獲得提示和flag。
提權:
提示信息告訴我們和可執行文件有關,那我們查看下具有root權限的可執行文件都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,找到/opt/get_acess文件。
使用string get_access查看下文件信息,發現存在一個cat命令未指定具體路徑。
那我們就可以自己設置一個cat命令寫入環境變量,讓其引用我們的cat命令即可執行我們寫入的代碼。
echo '/bin/bash' > /tmp/cat
chmod +x /tmp/cat
export PATH=/tmp:$PATH
echo $PATH執行get_access腳本,獲得root權限。
因為我們更改了cat命令,所以這時候使用vim root.txt查看下文件的內容或者刪除下/tmp/cat文件,然後cat root.txt查看為文件內容,成功獲取到flag信息。
