主机信息
Kali:192.168.31.216ica1:192.168.31.85
信息收集
使用Nmap探测发现目标主机开放了22、80、3306端口
nmap -A 192.168.31.85![VulnHub_ica1]( "VulnHub_ica1")
查看80端口的网站发现是一个qdPM的CMS系统
我们使用MSF进行搜索发现只有一个V7版本的文件上传,不符合当前9.2的版本
然后我们继续在exploit-db上搜索找到了一个9.2版本的密码曝光漏洞
下载后查看配置文件得到用户名和密码
GETSHELL
我们使用获得的密码连接数据库
我们查看staff的数据库发现有一些用户名和密码
MySQL [staff]> select * from user;+------+---------------+--------+---------------------------+| id | department_id | name | role |+------+---------------+--------+---------------------------+| 1 | 1 | Smith | Cyber Security Specialist || 2 | 2 | Lucas | Computer Engineer || 3 | 1 | Travis | Intelligence Specialist || 4 | 1 | Dexter | Cyber Security Analyst || 5 | 2 | Meyer | Genetic Engineer |+------+---------------+--------+---------------------------+5 rows in set (0.012 sec)MySQL [staff]> select * from login;+------+---------+--------------------------+| id | user_id | password |+------+---------+--------------------------+| 1 | 2 | c3VSSkFkR3dMcDhkeTNyRg== || 2 | 4 | N1p3VjRxdGc0MmNtVVhHWA== || 3 | 1 | WDdNUWtQM1cyOWZld0hkQw== || 4 | 3 | REpjZVZ5OThXMjhZN3dMZw== || 5 | 5 | Y3FObkJXQ0J5UzJEdUpTeQ== |+------+---------+--------------------------+5 rows in set (0.053 sec)
然后我们把获取到的密码进行解码,然后进行爆破得到两个ssh用户名密码
登录后获得第一个Flag
登录另一个账号看到一个提示
提权
这两个账号经过查看发现在/opt下都有一个get_access的文件且具有SUID权限
使用strings查看文件发现有一个读文件的操作
然后我们伪造一个cat命令,然后写入/bin/bash,然后修改环境变量
然后在执行get_access就可以获取到root权限
查看root的flag
加入我的星球
扫描二维码
获取更多精彩
NowSec
原文始发于微信公众号(NowSec):VulnHub_ica1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论