基本信息
靶机下载:https://download.vulnhub.com/ica/ica1.zip
攻击机器:192.168.20.128(Windows操作系统)& 192.168.20.138(kali)
提示信息:根据我们的情报网络提供的信息,ICA 正在进行一个秘密项目。我们需要找出这个项目是什么。获得访问信息后,请将其发送给我们。我们将设置一个后门程序,以便稍后访问系统。你只关注项目是什么。您可能需要经过多层安全保护。中情局完全有信心您能成功完成这项任务。祝你好运,特工!
靶机:192.168.20.0/24
目标:获取2个flag+root权限
具体流程
信息收集
老样子首先使用arp-scan -l对主机进行探活,发现主机IP为192.168.20.148
之后对开放的端口进行扫描,执行nmap -O -sV -p- -A 192.168.20.148,结果如下所示
靶机开放了22、80、3306、33060端口,其中80和3306端口是我们需要特别关注的两个端口,我们首先去看看80端口,如下所示
我们发现是qdpm 9.2版本,我们去浏览器搜索一下这个版本的框架是否存在历史漏洞
我们发现存在密码泄露的漏洞,我们访问http://192.168.20.148/core/config/databases.yml
成功找到mysql的账号密码,我们远程连接mysql数据库即可
漏洞初探
我们使用mysql -u qdpmadmin -h 192.168.20.148 -p登录mysql服务器
我们去qdpm数据库里面看看有没有什么信息
我们在staff数据库中找到了一串账户和密码,我们拿去解密,并保存在txt文件中,如下所示
| user | passwd |
|---|---|
| Smith | X7MQkP3W29fewHdC |
| Lucas | suRJAdGwLp8dy3rF |
| Travis | DJceVy98W28Y7wLg |
| Dexter | 7ZwV4qtg42cmUXGX |
| Meyer | cqNnBWCByS2DuJSy |
我么将这5个用户一个个去尝试登录ssh,我们成功登录两个ssh服务,如下所示
并且我们发现了第一个flag,如下所示
ICA{Secret_Project}
同时发现了一个提示,note.txt
It seems to me that there is a weakness while accessing the system.
As far as I know, the contents of executable files are partially viewable.
I need to find out if there is a vulnerability or not.
提示了我们要去找可执行文件,可执行文件上存在漏洞
权限提升
我们尝试进行suid提权,执行find / -perm -u=s -type f 2>/dev/null,执行结果如下所示
其中get_access文件十分的可疑,我们试着运行该文件
我们使用strings命令查看该文件的函数,如下所示
这里的cat我们可以使用环境变量进行提权,具体操作如下所示
cd /tmp
echo "/bin/bash" > cat
chmod +x cat
export PATH=/tmp:$PATH
cd /opt
./get_access
执行之后可以发现成功提权
具体原理就是我们将"/bin/bash"这个命令伪装成cat,而系统在调用cat命令的时候会从左往右调用环境变量,而我们的/tmp环境变量在写入时处于最左端,所以里面的cat会被优先调用,进而直接执行/bin/bash命令,进而拿到root权限
成功拿到root.txt
ICA{Next_Generation_Self_Renewable_Genetics}
本题到此结束
总结
- 浏览器进行信息收集,寻找泄露信息
- mysql收集系统信息
- 利用环境变量提权