1、靶机介绍

靶机地址：ICA: 1 ~ VulnHub

2、渗透过程

首先，部署好靶机后，进行探测，发现靶机ip和本机ip，靶机ip156，本机ip146。

然后查看靶机ip有哪些端口，nmap一下。

出现22、80、3306端口，回顾以前的项目，可以短暂想到相关思路，通过web端发现可能有注入等漏洞，进入3306开放的mysql数据库搜集资料，然后通过22端口ssh进行连接，收集相关信息后，进行提取操作，大概是这样。

先看看80端口的web。这是一个qdPM框架搭的，版本9.2

dirsearch一下目录。并没什么有用的东西。

查看一下漏洞库，发现了有一个password导出的信息泄露的洞。

复制下来，看看这个txt怎么说。

里面提到了core/config/databases.yml,这个文件有敏感信息password 。

二话不说，wget下载。

cat后发现里面有username：qdpmadmin和一个url编码的字符串password

mysql远程连接一下，进入mysql查看相关数据库

 选择qdpm数据库，一般想要的用户名和密码都在这。

查看表，发现有用户表和用户组表。挨个查看。 

空的！！！！

重新翻找，终于，在staff表里发现了user，找到了用户名

在login中找到了被编码的password，他们都有对应的编号，玩的花花！

给他都搞下来，密码解码也搞下来。

hydra爆破一下ssh。发现有两个用户爆破出来了。

先登录travis的，发现了user.txt。得到个flag

再看看还有没有其他的，进入home，还有个之前爆破出来的dexter，进它的文件夹里面瞅瞅。 

连接上后，看到了个提示，我在下面翻译一下。 

It seems to me that there is a weakness while accessing the system.
As far as I know, the contents of executable files are partially viewable.
I need to find out if there is a vulnerability or not.

在我看来，访问系统时存在一个弱点。 据我所知，可执行文件的内容是部分可见的。 我需要找出是否存在漏洞。

可执行文件部分可见。那就find一下有suid的文件吧，第一个很明显/opt/get_access 

查看到里面一堆什么乱码。 

用文件分析工具strings，试一试，发现了有操作cat /root/system.info 

这个里面执行过这个操作，那可以将原本cat二进制执行文件，通过修改环境变量指向一个新的cat指令。我们自己搞一个cat指令。

先进入tmp目录下，然后写个cat文件，给cat文件赋予执行权限，修改环境变量，并且执行一下/opt/get_access 

啪的一下，很快啊，一下就root了。 

最后获取到了root的flag，很棒！收工！

3、思路总结

总结一下渗透的思路，之前的探测搜索都是常规的思路，重要的是，信息泄露这种偶尔被忽略的洞，往往能带来很好的效果。

其次就是在数据库中，要好好搜刮有用的信息。

最后，linux系统中的环境变量的替换，有时也是会被忽视，通过环境变量也可以修改并且达到一些目的！

加油，努力，奋斗！努力成为老鸟的一天！！！