vulnhub靶場之ICA: 1
準備:
攻擊機:虛擬機kali、本機win10。
靶機:ICA: 1,網段地址我這裡設置的橋接,所以與本機電腦在同一網段,下載地址://download.vulnhub.com/ica/ica1.zip.torrent,下載後直接vbox打開即可。
知識點:框架qdpm 9.2漏洞、資料庫的基本使用、hydra的暴力破解、環境變數替換命令。
資訊收集:
掃描下埠對應的服務:nmap -T4 -sV -p- -A 192.168.100.197,顯示開放了22、80、3306埠,開放了ssh、apache、mysql服務。dirmap目錄掃描未發現有用的資訊。
漏洞利用(qdpm 9.2):
訪問下80埠,發現是一個登錄介面,顯示了所使用的框架資訊:qdpm 9.2。
在網站://www.exploit-db.com/搜索下是否存在可利用的exp,發現存在兩個exp,在第二個exp(未經驗證賬戶的密碼暴漏)中發現存在我們可以直接讀取/core/config/databases.yml文件,嘗試讀取下文件資訊,獲取到資料庫賬戶名和密碼:qdpmadmin/UcVQCMQk2STVeS6J。
資料庫資訊收集和利用:
通過獲取的資料庫賬戶名和密碼:qdpmadmin/UcVQCMQk2STVeS6J登錄資料庫查看,登錄命令:mysql -h192.168.100.197 -uqdpmadmin -pUcVQCMQk2STVeS6J,發現資料庫:qdpm、staff,在資料庫中查找資訊,最後在staff資料庫中發現管理人員的帳號資訊和密碼資訊(base64加密)。賬戶名:Smith、Lucas、Travis、Dexter、Meyer,密碼解密後:suRJAdGwLp8dy3rF、7ZwV4qtg42cmUXGX、X7MQkP3W29fewHdC、DJceVy98W28Y7wLg、cqNnBWCByS2DuJSy。
我們將獲得賬戶名和密碼放入username和passwd文件中使用hydra進行爆破一下,命令:hydra -L username -P passwd ssh://192.168.100.197,成功獲取到兩個有用的賬戶名和密碼:travis/DJceVy98W28Y7wLg、dexter/7ZwV4qtg42cmUXGX。
或者在windows上使用弱口令工具自己載入密碼本也可以破解。
利用獲得賬戶名和密碼使用xshell進行嘗試登錄,在travis賬戶下發現user.txt、在dexter賬戶下發現note.txt,查看文件資訊獲得提示和flag。
提權:
提示資訊告訴我們和可執行文件有關,那我們查看下具有root許可權的可執行文件都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,找到/opt/get_acess文件。
使用string get_access查看下文件資訊,發現存在一個cat命令未指定具體路徑。
那我們就可以自己設置一個cat命令寫入環境變數,讓其引用我們的cat命令即可執行我們寫入的程式碼。
echo '/bin/bash' > /tmp/cat
chmod +x /tmp/cat
export PATH=/tmp:$PATH
echo $PATH執行get_access腳本,獲得root許可權。
因為我們更改了cat命令,所以這時候使用vim root.txt查看下文件的內容或者刪除下/tmp/cat文件,然後cat root.txt查看為文件內容,成功獲取到flag資訊。
