主机信息

Kali：192.168.31.216ica1：192.168.31.85

信息收集

使用Nmap探测发现目标主机开放了22、80、3306端口

nmap -A 192.168.31.85

查看80端口的网站发现是一个qdPM的CMS系统

我们使用MSF进行搜索发现只有一个V7版本的文件上传，不符合当前9.2的版本

然后我们继续在exploit-db上搜索找到了一个9.2版本的密码曝光漏洞

下载后查看配置文件得到用户名和密码

GETSHELL

我们使用获得的密码连接数据库

我们查看staff的数据库发现有一些用户名和密码

MySQL [staff]> select * from user;+------+---------------+--------+---------------------------+| id   | department_id | name   | role                      |+------+---------------+--------+---------------------------+|    1 |             1 | Smith  | Cyber Security Specialist ||    2 |             2 | Lucas  | Computer Engineer         ||    3 |             1 | Travis | Intelligence Specialist   ||    4 |             1 | Dexter | Cyber Security Analyst    ||    5 |             2 | Meyer  | Genetic Engineer          |+------+---------------+--------+---------------------------+5 rows in set (0.012 sec)MySQL [staff]> select * from login;+------+---------+--------------------------+| id   | user_id | password                 |+------+---------+--------------------------+|    1 |       2 | c3VSSkFkR3dMcDhkeTNyRg== ||    2 |       4 | N1p3VjRxdGc0MmNtVVhHWA== ||    3 |       1 | WDdNUWtQM1cyOWZld0hkQw== ||    4 |       3 | REpjZVZ5OThXMjhZN3dMZw== ||    5 |       5 | Y3FObkJXQ0J5UzJEdUpTeQ== |+------+---------+--------------------------+5 rows in set (0.053 sec)

然后我们把获取到的密码进行解码，然后进行爆破得到两个ssh用户名密码

登录后获得第一个Flag

登录另一个账号看到一个提示

提权

这两个账号经过查看发现在/opt下都有一个get_access的文件且具有SUID权限

使用strings查看文件发现有一个读文件的操作

然后我们伪造一个cat命令，然后写入/bin/bash，然后修改环境变量

然后在执行get_access就可以获取到root权限

查看root的flag

下方查看历史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之DC-3

VulnHub之DC-4

VulnHub之MuzzyBox

【工具分享】AWVS 12 汉化破解版

通达OA任意上传&文件包含漏洞复现

扫描二维码

获取更多精彩

NowSec

原文始发于微信公众号（NowSec）：VulnHub_ica1