大余每日一攻防ICA: 1(八)

admin 2023年12月9日01:27:51评论4 views字数 1904阅读6分20秒阅读模式

简介

每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场,为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升,使他们更好地理解实际攻击和防御场景。

每日一攻防特色:环境攻破:以简单直白的方式攻破每日选择的渗透测试环境。代码审计:进行攻防分析,结合代码审计,深入挖掘漏洞和强化防御。

作者:大余

一首歌送给你们,一首歌一攻防一项目!《光良》送给大家!

一、网络枚举

大余每日一攻防ICA: 1(八)

直接发现IP地址192.168.3.208
大余每日一攻防ICA: 1(八)

扫描端口发现22、80和3306等端口开启。

二、web信息收集

大余每日一攻防ICA: 1(八)

使用的是qdPM 9.2系统,查看有没有相关漏洞:
大余每日一攻防ICA: 1(八)

https://www.exploit-db.com/exploits/50176

有个数据库信息泄露!

三、数据库枚举

1、获取数据库用户名密码

大余每日一攻防ICA: 1(八)

下载文件:

http://192.168.3.208/core/config/databases.yml

大余每日一攻防ICA: 1(八)

得到用户名和密码。

qdpmadminUcVQCMQk2STVeS6J

2、登录数据库

mysql -u qdpmadmin -h 192.168.3.208 -pUcVQCMQk2STVeS6J
大余每日一攻防ICA: 1(八)
1701935109_65717805c46ada8eb5043.png!small?1701935110732

查看一下数据库里的信息,在staff数据库中发现了用户名和密码:

大余每日一攻防ICA: 1(八)

大余每日一攻防ICA: 1(八)
1701935128_6571781801d749e2885e7.png!small?1701935129013
大余每日一攻防ICA: 1(八)
1701935133_6571781d9feb8955a4a5e.png!small?1701935134518

四、密码解密爆破

通过base64解密后:

大余每日一攻防ICA: 1(八)

大余每日一攻防ICA: 1(八)

把密码用base64解密一下,保存在pass.txt文件中,账号保存在user中进行爆破:
大余每日一攻防ICA: 1(八)

dexter 7ZwV4qtg42cmUXGXtravis DJceVy98W28Y7wLg

发现两组账号和密码!

五、IDA分析提权

大余每日一攻防ICA: 1(八)
1701935152_65717830c095659609f62.png!small?1701935154785
ssh [email protected]

提示访问系统时存在弱点,可执行文件的内容是部分可见的,需要找出是否存在漏洞??

那就先看一下有权限的文件:

find / -perm -u=s 2>/dev/null

大余每日一攻防ICA: 1(八)

发现有个get_access文件比较可疑,查看一下:
大余每日一攻防ICA: 1(八)
导出到本地IDA分析:
大余每日一攻防ICA: 1(八)
IDA逆向分析:
大余每日一攻防ICA: 1(八)
发现会以root权限查看文件,可以通过伪造一个文件名为cat的可执行文件,文件内容为/bin/bash,并将文件路径设置为环境变量,这样执行get_access的时候,就会执行我们伪造的cat文件,从而使我们获得root权限:

echo '/bin/bash' > /tmp/catchmod +x /tmp/catecho $PATHexport PATH=/tmp:$PATH/opt/get_access

大余每日一攻防ICA: 1(八)

成功获得root权限!

六、代码审计

这段代码是PHP语言编写的,并涉及qdPM项目:引入了引入check.php文件用于检查系统配置和环境的代码!

大余每日一攻防ICA: 1(八)
大余每日一攻防ICA: 1(八)
大余每日一攻防ICA: 1(八)

在check源码中:

if(!is_file('core/config/databases.yml'))

会检查是否存在core/config/databases.yml文件,如果不存在,则重定向到安装页面。通过前面攻击确实是存在的,防护建议:

1、移动到安全目录将databases.yml文件移动到服务器不可公开访问的目录,确保它不能通过HTTP直接访问。

mv core/config/databases.yml /path/to/non-public/directory

2、禁用目录列表确保Web服务器配置禁用目录列表功能,防止恶意用户浏览文件系统。

3、访问权限对databases.yml文件设置适当的文件系统权限,确保只有授权用户或进程能够读取。

chmod 600 /path/to/non-public/directory/databases.yml

4、额外的访问控制在Web服务器配置中,添加额外的访问控制,如使用.htaccess文件(对于Apache服务器)或其他方式,确保只有授权用户能够访问这些敏感文件。

示例Apache .htaccess文件:

<Files "databases.yml">    Require all denied</Files>

这将禁止直接访问databases.yml文件。

原文始发于微信公众号(大余安全):大余每日一攻防ICA: 1(八)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月9日01:27:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大余每日一攻防ICA: 1(八)https://cn-sec.com/archives/2281514.html

发表评论

匿名网友 填写信息