kerling

热爱安全。php python 低级coder 。爱美食爱电影爱二次元。0.3阶狼人杀玩家

第三届绿盟杯广西网络安全竞赛线下赛wp(北斗天璇)

by ramsm0 (北斗天璇)

本文为线下赛复盘内容,由于比赛激烈 截图较少。请各位朋友谅解指正。

比赛分为30 个队伍 每个队伍拥有两台机器

大致情况如上图 选手和靶机分在两个vlan 选手机之间无法互相访问。但是靶机之间可以互相访问(这是一个细节 刚开始尝试一些漏洞就因为没注意网络环境,exp反弹的msf session未成功吃了大亏)

比赛开始之后 先有一个小时的时间进行靶机加固。

两台靶机分别预装了 wordpress 以及phpcms,这时候我使用一下语句顺利找到了wp的一句话密码

find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt

这时候 顺手开启nmap 扫起来B段(主办方给了一张纸 上面写了靶机存活的ip,结果没仔细看。。还是队友给力 不然扫到什么时候)

之后使用bash 执行mysql -u root -p 进入mysql update掉后台的密码(root密码在config文件找。。细细看一下结构就能发现位置) 同理对 phpcms进行相同处理 后来着手进行批量。结果坑爹的绿盟机器 网站根目录下是readonly 权限。 我们一度以为shell上的wwwdata权限高于user(比赛太忙 xshell上对于index.php更改显示readonly 但是shell上可以有更改权限。不知道为什么) 因此做出了误判,认为webshell权限高于ssh,于是许多操作是在webshell上执行 着实让难度增加了很多。这是吐槽主办方第一点。后来发现自己150分被拿了很多(wp靶机一次flag 为200 phpcms一次为150),遂进行复查之后发现原来是api.php下存在一句话。遂更改,其实主办方phpcms靶机上上传了 一个没做过手脚的源码。这时候应该把网站和源码解压下来。然后diff就很容易发现问题所在了。之后又认真排查了一遍网站。队友则负责使用最基础的漏洞进行getflag。我这边则使用自动化脚本进行种马。然而绿盟那个坑爹的机器。用hackbar对目标一句话post  phpinfo是可以执行的。但是shell却没办法连接。第二点是 由于我写的脚本是进行两次post操作进行种马,其中只要有一个post丢包则种马失败,所以那时候我的脚本基本等于helloworld 这丢包率是吐槽的第二点。排查之后我们总结了一下网站存在的服务以及利用方法

1.wp phpcms

默认的两个一句话坑就不说了。wp使用wpscan 扫描未果 phpcms前阵子上传漏洞挺火的,可惜比赛紧张,队友复现不成功。后来被人一直拿分。遂写脚本疯狂删shell。最后找到填补方式 把attachment.class.php处 file变量改$k 150安全

2.tomcat

tomcat我看过了 基本只有一个几个example 其中一个是jsp.一个是servlet。爆破了tomcat manager 失败,依稀记得以前有个user权限提升,时间不足,复现未果。找了半天没发现st2链接。遂放弃rce

3.phpmyadmin

这边可以配合root进行load_file读flag 以及select outfile 进行读写操作,时间不足。复现未果,但是看到有些队员是关闭mysql服务了的

4.postregsql

思路考虑的是 进行读写文件来获取flag

可参考ricterz文章https://www.secpulse.com/archives/33105.html

5.samba 

这个是可以复现成功的。由于我未正确认清网络环境。因此session反弹失败。。。背大锅- -

6.默认密码。同上背锅,没认清网络权限加上沟通失误导致ssh被他人更改密码 200疯狂送分 - -

整理思路之后比赛就在复现漏洞和 被打中进行着- - 中途很多队伍发现了异样。但是我中的木马让我们稳定下了5台phpcms以及 20台wp机器,(如果不丢包就没有那么狼狈了)。

只不过也是有点唏嘘。之后可能大家就很难再见到彼此了。更别说打比赛了。不过圆了两个队友的冠军梦(其实是某大神队友去工作了 因为某种特殊原因无法比赛=--=)有什么具体疑问欢迎留言请教(别伸手找我要脚本-0 - 倒腾了一个月呢 ,放过我。)

评论 ( 1 )

© kerling | Powered by LOFTER